48 часов на донос, сертификаты за находки и связи с госбезом. Как Китай за 20 лет превратил поиск уязвимостей в государственную систему

За последние 20 лет китайская индустрия поиска уязвимостей прошла путь от хаотичной сцены энтузиастов до структурированной системы, тесно связанной с государственными интересами. В начале 2000-х это был разрозненный рынок с бесплатными базами данных и дешевыми эксплойтами, но к середине 2010-х экосистема оформилась в виде коммерческих платформ, исследовательских центров при крупных компаниях и сетей частных специалистов, которые стали активно участвовать в международных конкурсах и программах вознаграждения за найденные ошибки в западных продуктах. Сегодня эта сфера стала частью стратегической инфраструктуры Китая, где исследователи, государственные структуры и частные подрядчики действуют в единой «векторной трубе» сбора уязвимостей.

После того как китайские команды начали выигрывать международные соревнования, власти взяли направление под контроль. В 2018 году участникам из КНР запретили выступать на зарубежных хакерских турнирах без одобрения, обязав сообщать обо всех найденных уязвимостях «в органы общественной и информационной безопасности». Одновременно появились собственные внутренние конкурсы, а их результаты нередко направлялись в Министерство государственной безопасности и Министерство общественной безопасности. В 2021 году регламент «Об управлении уязвимостями в сетевых продуктах» обязал компании информировать Министерство промышленности и информатизации (MIIT) о найденных дефектах в течение 48 часов. Microsoft отмечала, что такие правила могут позволить государственным структурам накапливать нераскрытые уязвимости, чтобы использовать их в операциях.

На практике контроль остаётся частичным. Исследователи нередко задерживают уведомления или торгуют уязвимостями на неофициальных рынках. Даже после показательного дела 2021 года, когда инженер Alibaba сообщил о найденной критической ошибке Log4Shell, требования исполняются не всегда. Поэтому государство использует не только давление, но и систему вознаграждений. Китайская национальная база уязвимостей (CNNVD), подведомственная Министерству госбезопасности, платит исследователям за найденные дефекты и выдаёт сертификаты, которые повышают их профессиональный статус и открывают путь к государственным контрактам. Благодаря этому членство в сети технических подразделений CNNVD (TSU) растёт, а добровольная передача сведений о слабых местах становится выгодной.

Наряду с этим формируется слой неформальных связей между исследователями, в том числе связанных с подрядчиками, работающими на государство. Наиболее известный пример — компания Sichuan Silence, чьи сотрудники фигурировали в расследованиях США по атакам на продукты Sophos. Похожие схемы прослеживаются и в связке между командами Pangu и i-SOON: первая известна по взломам iOS и объединена с корпорацией Qi An Xin, вторая участвует в операциях, связанных с группами RedHotel и Aquatic Panda. Утечки документов i-SOON в 2024 году показали, что обе структуры поддерживали рабочие контакты и обменивались найденными уязвимостями, включая те, что могли применяться в следственных или разведывательных целях.

Государство постепенно расширяет эту «трубу»: к процессу подключают колледжи и техникумы, а крупные фирмы вводят многоуровневые системы подготовки кадров. Так, платформа Butian, принадлежащая Qi An Xin, разработала программу «Белая шляпа: путь мастера» — шестиступенчатую программу обучения с теорией, практикой и системой поощрений. Одновременно в уязвимостях всё чаще фокус смещается с иностранных на отечественные продукты. Ещё в 2018–2022 годах на конкурсах Tianfu Cup основное внимание уделялось западным приложениям, но в 2023-м призовой фонд для китайских целей вырос, а в 2024 году турнир Matrix Cup впервые установил отдельные категории для местных систем, распределив премии на сумму 2,75 млн долларов — больше, чем у канадского Pwn2Own.

Однако публичность таких соревнований снижается: Tianfu Cup не проводился в 2024 году, а на Matrix Cup подробности эксплойтов не раскрывались. В то же время китайские компании получили доступ к конфиденциальным данным о зарубежных уязвимостях через программу Microsoft MAPP, в рамках которой партнёрам заранее сообщают о будущих обновлениях. Из 104 участников программы 13 — из Китая, что вызывает сомнения в сохранности этих сведений. По данным Bloomberg, в августе 2025-го Microsoft сократила их участие, опасаясь утечек.

Современная китайская система поиска уязвимостей превратилась из сообщества энтузиастов в централизованную экосистему, где сочетаются бюрократические требования, финансовая мотивация и патриотические стимулы. Профессионалы теперь проходят обучение через корпоративные платформы, а государство контролирует как источники, так и потоки информации. При этом многие исследователи продолжают отправлять отчёты о дефектах западным компаниям, балансируя между личной выгодой, научным признанием и интересами национальной безопасности.