9月15日，從事網絡安全的技術員“玄道”在個人公眾號發文稱，微軟利用其壟斷地位使用UCPD.sys在注冊表深層隱藏加密數據、動態釋放未知程序，獲取用戶數據。

此外，UCPD還內置了針對中國軟件廠商的攔截機制，通過數字簽名黑名單、進程名黑名單、進程路徑黑名單進行過濾，限制第三方軟件與微軟體系軟件的競爭，維護其市場壟斷地位。

繼7月英偉達H20芯片暗藏“后門”被中國政府約談后，微軟被曝暗藏針對中國用戶的“后門”，引發了公眾對用戶隱私、數據安全，乃至國家安全該如何保障的集體擔憂和廣泛關注。

精準“狙擊”中國軟件

此次微軟“后門”事件的主角是UCPD.sys（全稱為User Choice Protection Driver，用戶選擇保護驅動），一款“保護用戶設置的默認應用不被第三方軟件隨意修改”的工具。

15日，玄道通過逆向工程深入研究發現，UCPD程序暗藏玄機，它內置了一套黑白名單機制。其中黑名單上，令人震驚的是，這份黑名單中集中出現了騰訊、搜狗、360、金山、2345、聯想等數十家中國企業的產品，涵蓋安全軟件、輸入法、瀏覽器等核心應用領域。

這種選擇性屏蔽并非基于技術缺陷，而是通過注冊表鍵值監控實現的精準攔截——當中國軟件嘗試修改默認應用時，UCPD會直接返回“操作失敗”的錯誤代碼，而同類功能的國外軟件卻能順利通過。

值得注意的是，微軟的UCPD驅動在不同地區呈現出不同的狀態。在歐盟地區，受《數字市場法》（DMA）的要求，微軟推出“公平模式”，用戶可以一鍵切換包括瀏覽器、PDF閱讀器和Office軟件的默認應用，系統不會阻攔用戶對默認應用的修改，更不會自動恢復原有設置。

但在歐盟以外，包括中國地區在內的用戶，都會在切換默認應用時，被該程序“橫加阻攔”，甚至會在系統更新或重啟后自動恢復到系統自帶應用。在中國，微軟的UCPD是以官方系統自帶的身份，對國內用戶執行了高度隱蔽的后門式操作，大多數國內用戶不僅無法選擇，甚至是不知情的，這直接加劇了信息泄露的風險。

按照微軟的公開說明，UCPD.sys 是一個“用戶選擇保護驅動”，主要用于防止惡意軟件隨意更改默認瀏覽器或文件打開方式。表面上看，這應該相當于一個“系統設置守護神”的功能，但網上曝光的技術追蹤顯示這個組件比想象中更復雜。

據玄道披露，UCPD.sys 會在系統注冊表的深層路徑寫入一串加密數據，這些數據在常規工具看來是無意義的亂碼，但它其實會持續監視注冊表路徑變更，微軟可以通過云端配置系統向該注冊表項寫入數據，UCPD一旦檢測到變化，便會立即讀取并解析其中的內容。

隨后UCPD.sys就會調用解密邏輯，把這些數據轉換成可直接運行的可執行程序（PE文件）。這些程序并非用戶主動安裝，卻能直接運行，功能未知，甚至可能接收遠程指令。換句話說，它像木馬一樣，利用注冊表當作倉庫，在暗中釋放程序。玄道表示，這已經超出了“保護默認設置”的范疇，就是一個潛伏的后門。

可對用戶精準畫像

據玄道披露，更令人不安的是，UCPD.sys對中國用戶有額外一層監控。具體表現為，UCPD會主動讀取系統地理位置編碼。當代碼為中國（45）、中國香港（104）、中國澳門（151）或中國臺灣（237）時，驅動會激活額外的監控功能并開啟日志上報行為。

而日志內容極其詳盡，包括ProcName（進程的完整路徑）、ModifingModulePublisher（模塊的數字證書簽發者）、RegKeyPath / PreProgId（試圖修改的注冊表路徑及修改前后的值）以及UCPDVersion / CloudRuleVersion（驅動和云規則的版本）。如果用戶系統開啟了“發送可選診斷數據”，這些日志將被加密上傳至微軟服務器。

也就是說，這些報告不僅記錄了你做了什么，還記錄了你用了誰家的工具，以及系統最終是如何處理的，這些數據匯聚到微軟，足以清晰還原出中國用戶的軟件使用習慣和偏好。

因此，對于個人用戶而言，應用使用習慣、文檔處理記錄、企業軟件選擇等信息，可能早已被系統性采集。對于政企與科研機構而言，風險更加嚴峻。中國數以千萬計的終端運行在Windows平臺上，如果UCPD.sys這樣的組件被惡意利用，它可能成為境外攻擊者滲透關鍵信息基礎設施的突破口。

實際上，這已經不是美國巨頭企業第一次陷入“后門”風波。2025年7月，國家互聯網信息辦公室正式約談英偉達公司，要求其就對華銷售的H20算力芯片存在的“漏洞后門”安全風險作出說明。

事實上，微軟系統 “留后門” 并非首次，過往案例早已證明其對數據安全的巨大威脅，且攻擊目標多次直指中國關鍵領域。

2025 年哈爾濱亞冬會期間，美國 NSA（國家安全局）利用 Windows 系統后門，對我國能源、交通、通信等關鍵設施發起 27 萬次攻擊，若成功滲透，賽事信息系統乃至城市運行網絡都可能癱瘓；2024 年曝光的 “BITSLOTH” 后門，更是能偷偷記錄鍵盤輸入、截屏電腦屏幕，其代碼中包含的中文日志，直接暴露了 “針對中國用戶” 的意圖；2019 年的 “SockDetour” 后門，則在服務器中潛伏兩年半，通過劫持系統程序悄悄傳輸數據，成為境外勢力竊取商業機密的 “隱形通道”。

而在更早之前，2022年7月至2023年7月，國家互聯網應急中心（CNCERT）監測到美國情報機構利用微軟Exchange郵件系統漏洞，長期攻擊我國軍工企業、航天研究所及生物醫藥公司。

截至目前，微軟方面尚未對此事作出正式回應。針對這一問題，國內多家網絡安全公司已經開始進行深入分析，并呼吁相關部門對此事進行調查。同時，專家也建議用戶提高警惕，盡量使用國產操作系統和軟件，以減少對國外軟件的依賴，從而降低潛在的安全風險。

（經濟觀察網 李強/文）