美国加州大学研究团队提出太空网络威胁生成矩阵及新兴场景（上篇）

外太空网络攻击：

生成新场景以避免意外

尽管外太空对于人类来说并不适宜居住，但现代世界却要归功于它。然而，对于我们大多数人来说，太空是看不见的——看不见，想不到。毕竟，大多数人都没有去过外太空，许多人一整天都不需要抬头看天空。当当今许多人似乎很难理解有关世界的基本科学和事实时，太空科学可能不足以激发人们的兴趣。

因此，尽管公众意识正在增强，但外太空网络安全尚未引起太多关注也就不足为奇了。大多数人不了解甚至不喜欢考虑“常规”网络安全，而这也可能像太空科学一样深奥和令人生畏。如果人们很容易忽视地球上的网络安全，尽管我们的有线生活依赖于它，那么就更容易忽视遥远而陌生的外太空的网络安全。

但考虑到我们的世界对太空能力的依赖程度，这将是一个战略性的、危险的错误，而这些能力对于我们大多数人来说基本上是看不见的。仅仅在智能手机上查看时间就需要依靠全球定位系统（GPS）来同步全球时间。不太明显的是，这种人造卫星计时对金融服务至关重要——从信用卡交易到股票交易——在这些服务中，每个细节，如付款或取款时间，都需要精确地记录和协调；金钱确实处于危险之中。同样，考虑到移动通信网络的工作原理，拨打手机也依赖于这种精确的时间协调。

当然，GPS更为人熟知的是它在飞机、船只、卡车、汽车、人员和其他物体的定位和导航方面的日常作用。例如，GPS对于管理和协调每天将货物运送到当地商店的卡车车队至关重要。人造卫星也是我们的“天空之眼”，它发回地球观测数据，帮助我们预测天气、监测环境变化和动物种群、跟踪和应对自然灾害、提高农作物产量、管理土地和水资源使用、监视对手和部队调动等等。

由于许多关键服务和基础设施都建立在太空中，因此毫不夸张地说，如果没有太空能力，现代世界将不复存在，而太空能力的丧失对弱势群体来说可能是致命的。除了我们关心的其他问题外，经济和国家安全也将面临严重威胁。

幸运的是，善良的人们正在考虑太空网络安全问题，以保护我们的太空资产免受不良行为者的侵害，无论是从技术还是政策方向。但在这些讨论中，至少在非机密的讨论中，通常只提出一些通用场景，这些场景通常涉及对人造卫星进行一些模糊的黑客攻击或干扰/欺骗信号，例如关键的GPS通信。随着技术进步为更多人（包括私人）打开了进入太空的大门，现在似乎有更多网络安全场景是可行的，需要在本规划中加以考虑。

如果说网络安全的短暂历史给我们带来了什么教训，那就是攻击者和防御者之间的“猫捉老鼠游戏”在不断变化；随着时间的推移，新的、创造性的攻击不断让我们吃惊。因此，本报告旨在帮助预测这些意外情况，为外太空网络安全的技术和政策规划提供参考。如果没有更全面的情景供考虑，也没有一个组织框架（本报告将提供），技术和政策解决方案如果仅限于或误导于少数明显的情景，可能会过于狭隘（且效率较低）或过于宽泛（且不够细致）。

毫无疑问，可能出现的情景还有很多。虽然我们将提供40多个新情景，但它们并不意味着是完整的一套，这无论如何都是不可能的。但我们希望这次讨论将成为“想象力泵激器”，帮助构想其他新情景，从而吸引更多专家来帮助解决迫在眉睫的太空网络安全问题。

再次强调，关于新型太空网络攻击场景的机密对话可能存在，但公众对此并不知情。安全分类通常是与更多专家进行更广泛、更深入讨论的主要障碍。该项目旨在成为更大规模的非机密对话和分析的跳板，以便机密和非机密规划都能更加周到和有效。

在接下来的章节中，我们将首先讨论推动太空网络安全问题的七个因素，这也解释了为什么这是一个需要紧急关注的领域。然后，我们将提供一个太空网络安全场景提示生成器——一种称为ICARUS矩阵的分类法，即“想象网络攻击以预测太空独有的风险”（Imagining Cyberattacks to Anticipate Risks Unique to Space）的首字母缩写——以及新颖的网络攻击场景的简要描述和一些批判性思维问题，以进一步开发和审问这些场景。

在本节的其余部分，我们将阐明本报告中“网络安全”和其他关键术语的含义。

术语

在本报告中，我们将使用“网络攻击”来指代未经授权、非动能或非物理攻击，这些攻击涉及计算设备或系统，无论是作为手段还是目标。这比通常的理解要宽泛，即网络攻击必须使用计算设备作为未经授权的手段来访问系统。而“攻击”是指网络安全中的通常理解，即未经授权的入侵旨在禁用、破坏、削弱或以其他方式损害计算系统，包括其数据的机密性、完整性或可用性，即使没有其他任何损坏或损害。

举例来说：对计算机系统进行的纯物理攻击（无论是使用水、锤子、子弹、炸弹等）仍然不属于网络攻击，因为它不是非物理攻击（根据定义）。但侵入航天器内的供水系统以喷水破坏数字控制系统将属于网络攻击，因为该攻击链的关键部分涉及网络攻击（初始黑客攻击）。同样，通过社会工程学诱骗用户透露密码（黑客可以利用这些密码未经授权访问计算机网络并窃取其数据或做更糟的事情）仍然属于网络攻击的一部分，因为对信息系统本身的攻击是非物理的，即使必要的社会工程学策略可能依赖于物理事物，例如插入后会自动运行间谍软件的植入式U盘。

鉴于上述工作定义，我们将使用“网络安全”来涵盖与电磁频谱相关的安全，在其他讨论中，电磁频谱通常被视为一个独立但相关的领域。这样做的理由是简化我们的讨论，而不是使用更繁琐的“网络安全和频谱安全”。例如，主要的航空航天组织也采取了这种立场，部分原因是为了确保不会因为缺乏明确的学科归属而忽视对频谱安全的关注。此外，两者之间的区别越来越模糊，而且对于本报告的目的来说，它并不十分重要，即使它在其他讨论中很有用。

也就是说，我们认识到信号干扰和欺骗严格来说不是“网络攻击”，而更确切地说是对无线电信号或电磁频谱的干扰。在武装冲突的背景下，它们不属于网络战，而是属于“电子战”的范畴。然而，由于这两个领域密切相关，因为它们都涉及非物理攻击，而且无线电也可以由软件定义，因此容易受到网络攻击，而不仅仅是频谱干扰，我们将信号干扰和欺骗作为网络攻击的例子，特别是因为它们是已经发生的重要事件或场景。

我们不会在这里进一步讨论网络安全的基础知识，包括其历史和方法，因为这些讨论在其他地方已经很多了，超出了本报告的范围。但本报告确实假设受众对网络安全有一定程度的了解。

所谓“太空网络攻击”，我们并不一定指针对位于外太空的计算机系统的网络攻击，尽管这可能是我们首先想到的形象。相反，我们将用这个短语来表示针对太空生态系统任何部分的网络攻击，其中可能包括：

• 发射部分，例如发射场、运载火箭、有效载荷、研发设施；

• 地面部分，即支持太空系统运行的地球基础设施和服务，例如任务控制和人员终端；

• 太空部分，即人造卫星、空间站、望远镜等空间物体；

• 用户部分，例如GPS接收器、人造卫星互联网终端、人造卫星电话；

• 链接部分，例如从地面到太空（上行链路到人造卫星或从人造卫星下行链路）、太空到太空（交叉链路）甚至地面到地面的通信链路。

下图说明了太空生态系统中的各个部分：

图 1：空间系统部分

例如，美国太空监视网络（SSN）探测并跟踪绕地球运行的人造物体，包括太空垃圾、返回航天器和脱离轨道的人造卫星以及可能的导弹。这对于太空交通管理（STM）至关重要，例如，可以预测与太空垃圾的碰撞路线并让航天器采取紧急机动以避开它们。地面雷达和光学望远镜是SSN地面部分的一部分，而人造卫星是其太空部分的一部分。链路部分可以是上述任何一种：往返太空、人造卫星到人造卫星或地面站到地面站。

再举一个例子，据报道，在2022年2月24日俄乌战争爆发前约1小时，俄罗斯对美国通信公司Viasat开展了网络攻击，以切断其在乌克兰的人造卫星互联网连接。这是对Viasat调制解调器和路由器的攻击，这意味着这是对用户部分的攻击，旨在破坏上行链路和下行链路的链路部分。虽然这次网络攻击没有直接针对太空资产，但它仍然算作太空网络攻击，因为目标是Viasat太空生态系统的一部分。

尽管如此，本报告将主要关注太空领域的网络安全，因为太空资产比地面上的计算机系统和设备更难保护，如下一节所述。此外，这些场景的考虑程度远不及地球上的网络安全场景，地球上的网络安全场景可能更为常见。例如，对地球上太空研发设施的网络攻击可能类似于对许多其他组织的网络攻击，因此已经采取了专门的防范措施。

此外，并非所有针对太空组织的网络攻击都可算作“太空网络攻击”，而更常见的攻击类型则属于此类。例如，如果“太空”只是针对非太空公司的网络攻击的偶然事件。例如，此类入侵可能旨在窃取员工的社会安全号码，以进行普通的身份盗窃——甚至可能不知道或不在乎员工在太空公司工作——而不是旨在渗透太空组织IT系统以专门破坏太空数据、产品或任务的多步骤攻击。准确划分这条界线对本报告并不重要，因为我们将处理明确的太空网络攻击实例。

最后，我们所说的“人造卫星”（satellite）是指在轨道上运行的人造或人工空间物体。如果我们指的是天然卫星，我们会明确指出，例如，指定空间物体是小行星。

尽管自1957年地球第一颗人造卫星（前苏联“斯普特尼克1号”）发射以来，已经过去了近70年，但太空网络攻击的历史仅仅可以追溯到几十年前。这一历史发生在20世纪80年代和90年代个人电脑和互联网兴起之后，数字网络攻击也迅速出现并蔓延。太空中的计算机成为攻击目标只是时间问题。

世界上第一起太空网络攻击通常发生在1986年，攻击者是一名“视频海盗”，他是一名卫星操作工程师，绰号为“午夜队长”。他的任务现在看来有些古怪，他通过干扰HBO的传输并广播自己的信息4.5分钟来抗议HBO卫星电视服务不断上涨的费用，就像当代罗宾汉一样。

其他早期卫星黑客攻击的说法也存在争议。部分问题在于，由于网络空间缺乏明确的物理证据，因此很难首先发现网络攻击，更不用说将攻击归咎于某个行为者、组织甚至国家。例如，以下说法被认为具有自然或非网络原因，存在争议：1998年，据称德国 X 射线望远镜卫星（伦琴卫星，ROSAT）遭到黑客攻击，其太阳能电池板被指向太阳，导致电池过度充电和故障；1999年，据称英国军用通信卫星（Skynet）遭到黑客攻击并被勒索赎金。

但其他案件则更为清楚，即使可以预料到会遭到否认。1999年，一名15岁的黑客从控制国际空间站（ISS）物理环境的美国国家航空航天局服务器窃取了源代码；这次网络攻击毫无争议，并被起诉。2006年（以及2011年），据报道利比亚干扰了阿联酋的Thuraya卫星，以扰乱其卫星电话服务。2007年和2008年，美国国家航空航天局人造卫星遭到黑客攻击，Landsat-7和Terra AM-1人造卫星的控制权被接管数分钟。

几年之后，据称从2011年开始，伊朗展示了其通过伪造GPS信号捕获美国无人机并扰乱民用航空电子设备的能力。2014年，巴勒斯坦组织哈马斯声称对入侵以色列卫星电视传输以播放其自己的信息负责。2015年，俄罗斯黑客（Turla）被指责劫持卫星通信；这是一个值得注意的、罕见的例子，它通过攻击太空系统来攻击地面上的传统计算机，方式是隐藏其通过卫星传输数据的路线。2018年，俄罗斯被指控在北约军事演习期间干扰GPS信号，影响附近的民用空中交通。

仅在过去几年，世界才经历了第一场真正的“太空战争”，双方在武装冲突中使用了太空系统。2022年，俄乌战争爆发当天，俄罗斯被指责用恶意软件“破坏”或使可操作的Viasat调制解调器无法使用，从而拒止访问卫星互联网服务，以破坏信息和协调工作。与许多网络攻击一样，其影响是无差别的，因为它们本质上很难预测和控制。因此，欧洲数以万计的其他Viasat客户也因俄罗斯的黑客攻击而遭遇服务中断，不仅影响了互联网使用，还影响了近6000台风力涡轮机的远程监控。

同年，俄罗斯还试图干扰和入侵Starlink的卫星互联网设备，包括在移动设备上植入恶意软件，窃取Starlink服务器上的军事通信。但这些攻击直到最近（大约两年后）才成功，因为Starlink的技术尚属新颖，且漏洞不为人知。

俄罗斯的这些网络攻击为全球敲响了太空网络安全的警钟。但这并不是说国防规划者们不担心这个问题，只是媒体和公众并没有对此进行过多讨论，如果他们真的意识到这一点的话。几年前，在2020年，美国国防部发起了“黑掉卫星”竞赛，这是一场夺旗式比赛，最终在2023年DEFCON黑客大会上，几支队伍成功入侵了一颗在轨真实卫星。同样在2023年，欧洲航天局监视了一场入侵运行卫星的演示。

在上述事件之间还发生了许多其他事件，例如2024年发现的韩国卫星运营中心遭到黑客攻击，据推测是朝鲜所为。虽然它们目前还没有像其他地面网络攻击那样广泛（工业、国家组织和个人每天都会遭受这种攻击，这已经是常态），但由于以下几个原因，它正成为一个日益紧迫和危险的问题。

1. 太空竞赛2.0

鉴于地球上持续的地缘政治紧张局势，外太空正迅速变得更加拥挤，因此竞争也更加激烈。如下图所示，发射次数趋势令人震惊。

根据联合国外太空事务办公室的数据，在1965年至2012年的近50年间，全球发射的已登记太空物体（主要是人造卫星）总数保持稳定，平均每年约130个。但这种情况突然发生了变化，2013年至2016年，平均发射了220多个太空物体，2017年至2019年，这一数字翻了一番，达到近500个。

2020 年至2021年，这一数字在两年内增长了两倍，达到1500多个物体。而且，世界各国有望在不久的将来将这一数字翻一番，在过去两年（2022年和2023年）内平均发射近2600多个物体。可以肯定的是，这些活动大部分来自美国，但竞争对手国家也在关注并迎头赶上。

图1：每年发射到太空的物体数量

太空发射数量的这种指数级增长部分是由新技术、更强大的技术推动的，尤其是人工智能（AI）和机器人技术。例如，SpaceX开发了一种可重复使用的一级火箭助推器，可以精确地降落回地球，据报道，这已经节省了60%的典型发射成本。随着计算机尺寸的减小，小型人造卫星也使外太空变得更加便宜，因此更容易进入。一个流行的例子是立方体卫星，它的起始尺寸为10 厘米x 10厘米x10厘米，不到魔方的两倍大小——即使是学术实验室也能负担得起发射费用。

这些体积更小、功能更强大的人造卫星可以与人工智能协同，在轨道上形成星座或“卫星群”，例如提供人造卫星电话服务（例如Iridium）、人造卫星互联网（例如One Web）和人造卫星图像（例如Planet Labs）。人造卫星不再只是通过轨道中继无线电信号或将传感器数据传回地球的弯管，现在有了机载计算和不断增强的自主性（例如用于飞行控制），它们为黑客提供了更广泛的攻击或利用能力。也就是说，一旦进入太空系统，威胁行为者就可以做更多的事情。

随着进入太空的途径和能力的增强，全球对太空资源和研究场地的竞争也日趋激烈。例如，月球南极是一个备受推崇的地区，不仅因为其科学研究价值，还因为可能蕴藏着丰富的冰。月球冰的重要性在于它可以转化为水，供宇航员饮用，并可用作其他用途，如冷却剂或燃料（经过电解分离氢原子和氧原子）；但考虑到其重量，从地球发射水的成本很高，尤其是对于长期和长距离任务来说，发射的数量就太多了。月球可以成为在进一步进入太空前补充水、氧气和其他补给的航点。

2023年，俄罗斯的着陆器在前往月球南极的途中坠毁，最终导致任务失败。仅仅几天后，印度就成为第一个成功在该地区软着陆航天器的国家。然后在2024年初，美国首次成功将商业航天器软着陆到月球，到达该地区。中国目前正计划在2026年登陆该地区，为其计划中的月球基地奠定基础。

不仅仅是国家行为者，这种可及性的提高意味着公司也能够负担得起在外太空的活动。然而，国际上现有的太空法很少，对管理太空商业活动没有多大帮助，各国只能根据自己的意愿进行监管。正如本节下文关于法律制度所讨论的那样，太空法的核心文本已有50多年的历史，是在人们认为只有国家才能负担得起太空发射费用的时候起草的；因此，太空法主要关注国家，而不是行业或其他私人行为者。

因此，太空商业出现了一些计划，这些计划可能缺乏月球和宇宙应有的尊严。这些计划包括不顾文化和宗教反对，将人类遗骸送上月球，以及通过营销噱头将粉末状运动饮料送上月球，以便未来的宇航员可以用月球水补充水分；这两项计划都是Astrobotic于 2024 年发射失败的一次发射的一部分。未来的计划包括在月球上放置用风化层或月球土壤制成的基督教十字架，这可以预见会激起更大的文化和宗教愤怒——也会种下不满和冲突的种子。这些新的争议和行为者可能会揭示出新的攻击者动机和角色，而这些动机和角色在历史上从未被考虑过。

在太空探索的最初50年里，太空科学和安全是推动太空发展的动力，推动力主要来自各国，尤其是美国和前苏联，而如今，经济也成为竞争的驱动力，因此也可能导致冲突。例如，各国和业界对开采和利用太空资源非常感兴趣，从冰到贵金属。以在火星和木星间绕太阳运行的小行星16号普赛克为例：它比塞浦路斯岛还大，富含铁和镍，估计价值约为1000京美元（19个零）——比价值约105 兆美元的整个世界经济要大几个数量级。这颗小行星是太空中众多潜在宝藏之一，可能引发新一轮淘金热。

2. 太空遥远

外太空距离我们非常遥远，因此进入太空的成本非常高，以至于只有不到700人曾经进入过太空。与目前超过80亿的世界人口相比，这基本上是一个舍入误差。世界上亿万富翁的数量是这个数字的四倍多。因此，我们与太空互动的主要方式是数字化的，例如通过我们的手机、卫星天线和带有太空数据馈送的网站。因此，如果有人想攻击太空资产，他们也必须以数字化的方式进行，即通过网络攻击；远程攻击不依赖于物理距离或访问。

当然，美国、俄罗斯和印度等少数国家已经展示了反卫星（ASAT）能力，从地球发射导弹摧毁轨道上的目标。但联合国和美国呼吁禁止反卫星试验（用于直接上升式“杀伤”，例如地面射弹，但不包括其他方式，例如通过网络攻击）在过去几年中势头强劲；2022 年联合国大会关于该决议以154票对8票通过。因此，任何进行直接上升式ASAT的国家都会面临国际谴责的巨大风险，因此这似乎在可预见的未来不太可能发生，或者世界希望如此。（另请参阅下一点以了解相关原因。）

地球与太空间巨大的物理距离不仅对攻击者是个挑战，对防御者来说也是如此。想想看，目前在轨运行的最古老的人造卫星是“林肯校准球1号”，发射于1965年。（“先锋1号”是太空中最古老的人造卫星，发射于1958年，但在1964 年通信失联后停止运行。）但现代网络安全问题直到20世纪70年代才出现，当时第一个计算机蠕虫Creeper出现在当今互联网的前身ARPANET上；即使在那时，网络安全直到20世纪80年代末才开始成为主流关注点，并在20世纪90年代随着互联网的兴起而发展泛滥。

这意味着，目前太空中存在一些没有内置防御措施的人造卫星，因为它们的出现早于人们对现代网络安全的严重担忧。同样，除信号干扰外，第一起公开的卫星黑客事件至少要到1990年代末（ROSAT和 Skynet）或2000 年代初（Landsat-7和Terra AM-1），这取决于你相信哪种说法。而且，尽管听起来很疯狂，但今天仍然有卫星在没有网络安全措施的情况下发射，例如立方体卫星，这种卫星因建造和发射成本低廉而受到大学实验室和其他实验室的欢迎；它们通常既没有足够的空间来塞入网络安全组件，也没有预算来安装它。

即使是内置网络防御系统的卫星和其他航天器，我们现在都知道网络安全是一场永无止境的“打地鼠游戏”。拥有最新的技术和操作系统是不够的，因为它们的数百万行代码中都不可避免地存在漏洞，这些代码是由整个人类程序员团队（易犯错误的）编写的，没有一个人能够全面了解情况。因此，我们需要不断升级硬件，不仅是为了获得更快、更强大的性能，也是为了修复以前和新的漏洞。软件也需要不断打补丁，直到下一个版本的操作系统或应用程序发布。

但这些升级、修补和维护对于太空中的物体来说极其困难。从太空到任何轨道的物理距离，更不用说到达那里所需的努力和成本，意味着我们不能像在地球上一样随时更换服务器。因此，太空网络安全需要根据机载硬件的情况进行调整，这限制了固件和软件可以远程升级的范围。通常会避免进行重大系统更新，以消除更新失败可能导致航天器损坏的风险，而且通常存在无法远程修补的永久性软件组件。所有这些网络不安全性都会随着时间的推移而恶化。

此外，在轨道和宇宙的其他地方，太空物体无处可藏；任何拥有合适望远镜或其他手段的人都可以清楚地看到它们。由于轨道力学遵循物理定律并且是可预测的，因此太空物体的运动也是相当可预测的，除了故意的机动和不受控制的碰撞或“结合”。这可能使它们特别容易成为可跟踪的目标，并且处于人的视线范围内。

顺便说一句，太空天气成为人类和我们的技术离开地球时需要考虑的一个更严重的因素。恶劣的太空环境包括极端温度、辐射（例如来自太阳耀斑的辐射）以及超过地球硬件正常运行极限的微流星体的影响。例如，太空辐射会导致位翻转——将1变成0，反之亦然——这会破坏机载加密密钥的存储，这可能会导致有效凭证停止工作并拒绝访问。因此，需要特别小心防范这些自然灾害，因为它们会降低网络安全防御能力，而一些网络攻击可能会使航天器暴露于这些危害之中。

国际空间站（ISS）和GPS人造卫星等主要太空系统需要十年或更长时间才能开发完成，因此从概念化到发射，它们面临着在网络安全方面始终保持最佳实践的挑战。因此，如果没有最新的网络防御系统（有些系统在发射时网络安全落后10年），或者由于硬件和软件的限制而无法保持网络安全，太空资产将成为特别诱人且备受关注的攻击目标。由于外太空的物理障碍，攻击的主要方式可能是远程的，即通过网络攻击或电子战（例如信号干扰和欺骗）进行攻击。

3. 太空垃圾与可持续性

在外太空，网络攻击相对于动能攻击的环境效益是巨大的。网络攻击通常不会炸毁目标，但有时也会。武装冲突既是道德灾难，也是环境灾难，因此，无论是在地球上还是在轨道上，防止环境损害都是一项积极的发展。正如本文所解释的那样，太空垃圾是导致太空网络攻击增加的一个间接因素。

太空垃圾是我们留在太空中的垃圾，例如报废的卫星、废弃的助推器、火箭碎片、破损的太阳能电池板、丢失的工具等，其中一些是由这些太空物体间的早期碰撞或结合产生的。问题是，它们并不是在太空中平静地漂浮；它们正以每小时20000英里（或32000公里）或更高的惊人速度绕地球飞行，或者，更可以想象的是，每秒6英里（或10公里）甚至更快。

这意味着太空领域在轨道垃圾方面已经处于危险状态。因此，为了协调太空交通，尽可能多地跟踪这些东西至关重要，例如要知道我们不会将火箭发射到碎片场，或者要知道何时何地操纵卫星远离与碎片甚至另一颗卫星的碰撞路线。在这样的速度下，任何碰撞都可能是灾难性的，即使是微小的油漆斑点。

航天机构能够追踪大约35000个太空物体，其中只有大约9000个是正在运行的人造卫星，其余都是垃圾。但也有超过100万个小碎片难以追踪，大小从1厘米到10厘米不等。更糟糕的是，有超过1.3亿个小于1厘米的太空碎片，我们目前的技术无法追踪。

这与网络安全有什么关系？太空垃圾的威胁是对太空动能冲突的强大威慑，因为动能冲突会产生更多垃圾。这不仅仅是一个环境问题，也是一个自利问题：太空垃圾不在乎撞上哪个国家的物体，它既可能摧毁自己的太空资产，也可能摧毁对手的太空资产。但太空网络攻击不太可能加剧这一垃圾问题，只要他们能从太空服务中受益，这符合每个人的利益。

与上一点相关，呼吁国际反卫星禁令旨在防止外太空军备竞赛，但考虑到共同的轨道碎片问题，它们也是为了保护空间可持续性。各种估计都指责直接上升式反卫星试验产生了25%以上的可追踪空间碎片，并使与航天器发生灾难性碰撞的风险增加了一倍。这本身已经表明，轨道上的动能“射击”战斗很可能充其量是一场惨胜——也就是说，损失如此之大（对任何一方而言），以至于赢得太空战斗都感觉像是输了——因此是不合理和不可接受的。

太空垃圾带来的危险不仅与单个航天器碰撞有关，还存在行星级风险。这就是许多专家担心的“凯斯勒现象”——太空垃圾轨道场中不可控制、不可预测的碰撞连锁反应，每次碰撞都会产生更多的碎片，这意味着没有人能够在不经过这个包围地球的危险雷区的情况下安全地发射到地球外。在最坏的情况下，这实际上会终结地球上的所有太空计划，以及支持现代世界的太空服务。

研究人员还担心轨道碎片（主要为金属）会对地球的保护磁场造成破坏。

因此，与动能冲突相比，太空网络攻击可以避免空间垃圾问题，因此可能成为轨道冲突的主要模式。

4. 系统的复杂性

太空系统可能极其复杂，实际上是“成体系系统”（systems of systems），这可能导致更多的网络漏洞，包括更广泛的攻击面或黑客的切入点。首先，太空生态系统本身复杂而独特，需要考虑需要保护的各个部分：发射、地面、太空、用户和通信链路部分，如上一节所述。

仅以太空部分为例，想想发射到太空的各种技术形式：火箭具有推进系统、导航系统，以及根据任务而定的不同有效载荷，如人造卫星、太空探测器、需要为人类和动物提供生命支持系统的载人航天器、自主探测车和太空望远镜等货物等等——所有这些都依赖于计算系统，而所有计算系统都可能被黑客入侵。

供应链越长且越分散，攻击面就越大，这意味着出现错误和漏洞的机会也越多，尤其是在需要集成不同系统的情况下。这基本上就是物联网（IoT）环境中可能面临的漏洞百出的网络安全问题，尤其是当涉及不同的供应商时。商用现货（COTS）组件在立方体卫星和其他卫星中很常见，它们加剧了这个问题，因为拥有一个简单的即插即用系统是以牺牲整个系统强大或至少一致的网络安全为代价的。例如，相同的漏洞可以反复用于使用COTS组件的不同目标。

尽管最近美国国家航空航天局（NASA）、国家标准与技术研究所（NIST）和电气电子工程师学会（IEEE）等机构在制定太空网络安全的明确标准方面取得了进展，但这仍然是一个不断变化的目标，因为进攻和防御都将继续共同发展，而且这一进展对于之前发射时网络安全状况不佳的太空物体仍然没有多大帮助。此外，标准化太空安全可能很困难，因为卫星任务安全取决于大量半独立系统和软件（即成体系系统）的安全属性。另一方面，小型立方体卫星通常也没有任何网络安全保障，因为缺乏机载空间和资金，尤其是对于学术项目而言。

鉴于发射成本下降和商业对太空的浓厚兴趣，民族国家不再是外太空的唯一或主导者。这增加了在整个供应链中制定网络安全标准的挑战，特别是因为太空技术被认为是双重用途，即既有国防用途又有非国防用途。虽然国防和情报任务可以预期使用比工业和学术任务更高的网络安全标准，但即使是那些机密任务也可能涉及对网络安全关注程度不同的商业供应商，假设这些公司甚至有网络安全专家。例如，国防和民用部门间的不同数据交换接口可能会造成信息安全方面的漏洞。

上面我们只是谈论了太空部分。其他部分也涉及需要保护的相关技术，也涉及计算系统，例如发射设施、通信地面站、任务控制中心、最终用户终端等。

如今，新技术正在推动人们涌向太空，例如可重复使用的运载火箭和更强大的人工智能，以实现更好的控制和机动性。许多都是从未使用过的原型。这种新颖性带来了一个优点，那就是它是一个陌生的系统，因此更难被黑客利用，这有助于解释为什么俄罗斯花了两年时间才破坏了Starlink向乌克兰提供的卫星互联网服务。但新颖性也有其弊端；从定义上讲，新技术的网络准备度研究不足，而机密技术无法从学术研究人员等更广泛专家的审查中受益。

由于公众普遍缺乏有关技术细节的信息（无论是由于新颖性、安全等级，还是技术开发人员不愿透露卫星固件等细节），某些形式的网络攻击可能需要大量资源来计划和执行，也许需要国家支持，就像“震网”病毒（Stuxnet）那样。但这种“隐蔽式安全”只能让我们走这么远，攻击者可以瞄准链条中较弱的环节，例如使用普通的社会工程策略诱使太空系统操作员透露他们的登录凭据（可能只需要一个，而目标组织可能拥有数千名员工），或者信号干扰，这不需要了解GPS系统的内部工作原理，除了它的无线电频率。无论如何，“隐蔽式安全”可能不会持续很长时间，因为商业压力要求使用商业现货（COTS）和标准化组件。

虽然现代技术日益复杂，能够提供更强大的功能，但复杂性也会导致脆弱性、更多故障点和网络漏洞。太空系统是我们创造的最复杂的技术之一。对于技术娴熟的黑客来说，入侵太空系统可能是一项珍贵的奖杯，因为发射、太空任务及其技术系统的安全措施非常严格；这也是“黑掉卫星”竞赛的动机，该比赛在2023年产生了几支获胜队伍。

5. 法律制度不明确

当法律不明确或缺失时，道德问题就会从这些空白中产生，因为法律通常会遵循道德来保护社会价值观，例如禁止谋杀和欺诈。但法律的模糊性也为有争议的挑衅行为敞开了大门。在外太空，这意味着可能会引发或加剧冲突，从而引发网络反应。在接下来的讨论中，我们将探讨国内法和国际法（包括太空法）中可能引发或加剧外太空网络冲突的关键问题。

与动能攻击或物理攻击相比，网络攻击没有明确的法律框架约束，尤其是跨国攻击，太空网络攻击则更少。许多备受瞩目的网络攻击（例如OPM、索尼影业、Equifax、Colonial Pipeline、NASA卫星等）尚未导致刑事指控或起诉，即使肇事者已被专家确定并已发布“通缉”海报。这反映了法律或其执行方面的漏洞，甚至可能是无法无天的迹象，因为如此大规模的严重违法行为无法预防或起诉。

事实上，一位美国联邦调查局高级特工曾建议，在某些勒索软件攻击事件中“只需支付赎金”，但这并不是很有帮助的建议，尤其是在勒索软件如此猖獗和敲诈的情况下。作为在没有其他帮助的情况下的一种自救形式，“反击黑客”——即侵入网络攻击者的系统以恢复/删除被盗数据或追踪/破坏其系统以防止进一步攻击——的合法性也并不明确，因为计算机法（例如美国的《计算机欺诈和滥用法案》（CFAA））通常不考虑这种特定情况，因此不解决这种特定情况。

如果任何一个国家都难以应对网络攻击，那么在制定国际法时，挑战就会加倍，即使每个人都认识到网络威胁是一个严重的问题。制定网络空间规范的国际讨论已经停滞了十多年，原因是对国际法是否以及如何适用于网络空间（包括武装冲突法和国际人道主义法）缺乏基本的共识。

而且，网络攻击是否能够触发国际法规定的自卫权或集体防卫权甚至还不清楚，因为1945年《联合国宪章》（分别为第2.4条和第51条）禁止“使用武力”和“武装攻击”，而这些概念和理解仍然通常被理解为动能攻击，例如子弹和炸弹，而不是网络攻击。也就是说，传输代码（一串 0 和 1）怎么会是“使用武力”或武器呢？

但是，如果我们从一定规模、持续时间和影响的角度来理解“使用武力”和“武装攻击”，那么一些严重的网络攻击可能会上升到足以证明采取军事行动的程度，例如永久摧毁为平民提供能源的电网，这类似于导弹造成的破坏。相比之下，GPS信号短时间受阻（根据上一节中的术语讨论，我们在本报告中将其归为“网络攻击”）似乎没有弹药通常造成的永久性、不可逆转的损害那么严重。

如果我们具体讨论的是信号攻击，那么国际电信联盟（ITU）就与此有关，因为它负责协调无线电信号的频谱分配和相关事宜。《国际电信联盟公约》第45条规定，“所有无线电电台，无论其用途如何，都必须以不会对其他成员国或公认的运营机构或其他经正式授权的运营机构的无线电服务或通信造成有害干扰的方式建立和运营，这些运营机构开展无线电服务并按照《无线电规则》的规定运营。”

这似乎明确禁止了信号干扰和欺骗，但不幸的是，国际电信联盟几乎没有执行机制，主要依赖于争端各方的诚信合作。如果网络攻击意味着各方之间诚信的破裂，国际电信联盟的作用主要是标准制定、协调和发展，因此它只能对网络攻击提供有限的威慑，例如，如果各国希望国际电联成为未来争端的中立仲裁者，并需要保持其良好关系。

太空网络安全面临三重挑战，因为它们牵涉到国际太空法，而国际太空法已有数十年历史，且对网络攻击、太空垃圾和其他当时尚不存在的当前问题大多保持沉默。太空法的主要文书仍然是1967年批准的《外太空条约》（OST），当时现代网络安全还未成为关注点。作为冷战的产物，OST 原本只是一项基础协议，是美国和前苏联作为地缘政治竞争对手以及当时唯一的太空强国可以最低限度同意的基本框架；因此，它留下许多未解决的细节也就不足为奇了。

随后的三项太空法条约包括《救援协定》（1968年）、《责任公约》（1972年）和《登记公约》（1976年），分别规定了向宇航员提供援助的义务、对太空物体造成损害的责任以及为了太空交通管理（STM）和国际合作而对太空物体进行登记的义务。

其他国际空间法包括“软法”文书，如联合国宣言、原则、建议和指导方针。虽然软法不具有法律强制执行力，但它作为各国行为的明确偏好，仍然具有权威性。《月球协定》（1984年）对大多数国家不具有法律约束力，因为迄今为止只有17个国家批准了该协定。总的来说，这些太空法来源可以作为制定规范的基础，这些规范可以发展成为习惯国际法或进一步的硬法，但与本讨论相关的是，它们都没有直接涉及网络安全。

因此，除仅限于少数核心文书外，大部分太空法通常与处理太空网络安全或其他现代问题无关或不充分。我们将在以后的出版物中留出更长的讨论时间，但现在，只需指出《外太空条约》（OST）中似乎与太空网络安全相关的几个关键条款即可：

在《外太空条约》中，第4条和其他条款确认外太空只能用于和平目的，“月球和其他天体应由本条约的所有缔约国使用，仅用于和平目的。禁止在天体上建立军事基地、军事设施和防御工事，禁止试验任何类型的武器，禁止进行军事演习。”

第9条确立了不干涉原则，“如果本条约某一缔约国有理由相信该国或其国民计划在外太空，包括月球和其他天体进行的活动或试验，可能对其他缔约国和平探索和利用外太空，包括月球和其他天体的活动造成潜在的有害干扰，则该国应在进行任何此类活动或试验前进行适当的国际磋商。如果本条约某一缔约国有理由相信另一缔约国计划在外太空，包括月球和其他天体进行的活动或试验，可能对和平探索和利用外太空，包括月球和其他天体的活动造成潜在的有害干扰，则该国可就该活动或试验请求进行磋商。”

第1条也可能具有相关性，因为它规定了一项不歧视原则，“外太空，包括月球和其他天体，所有国家应在平等基础上并依照国际法自由探索和利用，不受任何歧视，并应自由进入所有区域。” 

因此，在太空发动网络攻击似乎违反了至少部分条款。例如：与第4条相反，这要么是未经授权利用计算机系统的侵略性、非和平活动，要么是测试（网络）武器，后者也是被禁止的。与第9条相反，网络攻击似乎属于被禁止的有害干扰，即使不是动能干扰（《外太空条约》从未明确规定它必须是动能干扰）。与第1条相反，仅针对特定国家太空资产的攻击（例如对美国人造卫星的干扰攻击）似乎违反了非歧视原则，这与干扰所有卫星信号的频谱攻击不同。然而，太空网络攻击仍然存在，没有任何违反《外太空条约》的法律指控。

但这些都是对《外太空条约》的解释，可能存在争议。例如，它可能声称太空网络攻击是干预先前侵略性、非和平活动的必要手段；如果先前的活动威胁到干扰另一个缔约国的计划，那么网络攻击看起来更像是“黑客反击”的案例，其法律地位在国内法甚至国际法下都不清楚。

众所周知，几乎所有太空技术和物体都具有双重用途的潜力，即用于和平和非和平用途。因此，发射能够进行攻击性网络作战的太空系统可能是合理的，这有助于隐藏武器，直至为时已晚。

此外，由于尚未在任何法律程序中进行测试，因此什么才算禁止对外太空进行有害干扰尚不明确。例如，干扰似乎经常以信号干扰/欺骗的方式发生，干扰也可能来自无意的行为，例如由于可能与第二颗人造卫星相撞而迫使人造卫星偏离其轨道。问题很大一部分在于信号干扰源可能难以识别和追踪，当干扰源是移动的（例如在船上）时更是如此。同样，尽管与《外太空条约》有关的争议已经出现，但尚未发现任何国家违反《外太空条约》。

即使国内或国际法律明确规定了网络攻击的非法性，提供了执行机制并指定了法律补救措施，成功起诉的一个关键障碍仍然是对攻击的明确归因。

对于国际网络攻击的适用法律和治理尚不明确，更不用说发生在外太空的网络攻击了。这为模糊性创造了空间，也增加了行为者逃避合法活动参数进行网络攻击等恶意或有害活动的可能性，这有可能升级为更严重的冲突，甚至是动能冲突。同样，并非所有针对太空系统的网络攻击都发生在外太空，因为它们可能针对地面、用户和地球上的其他部分；但本报告中提供的更新颖的场景往往是关于太空中的网络攻击，因为它们不像地球上更常见的网络攻击场景那样明显，也更少被考虑。

上述各种法律漏洞也说明了为什么在制定法律和政策时必须考虑各种情况，以预测和识别这些差距，正如本报告试图解决太空网络安全问题一样。除了上述网络安全问题外，太空法律和政策中的其他治理差距可能会导致误解、误判，并最终导致冲突。同样，我们将把这一详细讨论留到以后的报告中。

由于法律可以存在数十年甚至更长时间，今天看似荒诞或更具推测性的太空网络攻击情景在遥远的未来可能并非如此，就像《外太空条约》没有预见到我们现在面临的现代问题一样。针对各种情景（包括更遥远的情景）测试拟议的法律原则和框架仍然很有启发性，可以主动弥补任何差距。

6. 熟悉的网络优势

太空网络攻击也将继续发生，原因与地球上“常规”网络攻击将继续发生的原因相同：它们有效。从经济、政治和环境角度来看，它们是一种低成本但仍然非常有效的策略。

可以肯定的是，开展数字侦察或取证以研究目标计算机系统中是否存在网络漏洞，例如零日漏洞（未在网络攻击中使用过的未公开漏洞），然后开发一种网络武器来渗透该特定系统，可能需要大量资源和整个技术专家团队，这是非常昂贵的。例如，作为世界上第一个网络武器，2010年的“震网”（Stuxnet）蠕虫病毒是一种非常特殊的恶意软件，专门为摧毁伊朗核计划中的离心机这一非常特殊的任务而量身定制，据估计开发它耗资“数亿美元”并耗时两三年。

但是，获取网络能力的门槛不断降低，开发和发动许多其他网络攻击的成本要比派遣一支突击队、物资、运输等准备和发动动能攻击的成本低得多。随着计算能力每年都变得越来越便宜和强大，发动网络攻击的成本现在已经低得离谱，网络钓鱼活动每月只需30美元，这比美国海豹突击队的平均时薪还低，更不用说整个突击队在执行任务期间的成本了。相比之下，发射一枚导弹的成本可能超过200万美元，而乌克兰发生的爆炸或“自杀式”无人机的成本仅为几百美元。

尽管网络行动成本较低，但对依赖数字系统（尤其是指挥、通信、控制和情报 (C3I) 系统）的现代对手而言，网络行动却极为有效。无人机袭击可以摧毁整栋建筑，而C3I的数字基础设施不一定位于任何单一的物理位置，而是可以是分布式的，甚至是虚拟的，例如云计算。因此，即使将对手的通信中心炸得粉碎，也可能不如超越物理空间和限制的网络攻击有效，就像其数字目标一样。

除动能摧毁目标外，网络攻击还可以提供一系列新的、有用的选项。如果网络攻击使目标完全失去作用，那么它在功能上可以等同于动能攻击，但它也可以被设计成具有可逆或暂时的效果。或者它可能根本不是攻击，而是一种情报收集行动，例如窃听敌人的通信。或者它可以用于欺骗，例如使受感染的系统看起来正常，但实际上向决策者提供虚假数据。

从政治角度来看，与派遣“地面部队”的风险相比，网络攻击的成本要低得多，尤其是在外国，这可能会引发外交危机，甚至引发战争。由于“地面部队”的相关风险是“尸体被装进袋子里带回家”，因此网络攻击不太可能造成如此高的人员成本（对我们而言），以至于它会削弱公众对军事行动的支持并威胁到相关政治生涯。

对于太空冲突，动能类比就是用导弹从地球上击毁一颗人造卫星，这不仅代价高昂，而且对禁止反卫星试验和事件的来之不易的进展也会产生反作用。

由于网络攻击具有隐秘性，因此其挑衅性也较低，因此升级的可能性也较低。首先，由于攻击者有隐藏位置的技术，而且大多数人根本不了解数字证据，因此攻击者的身份通常难以确定。例如，国家行为者可以简单地否认其网络攻击，这可能足以在全球公众心中产生怀疑。由于某些网络攻击可以不加区分地传播并影响数千台或更多其他机器，例如来自电子邮件或受感染网站的恶意软件，因此攻击者的目标也可能难以确定。

其次，即使知道了预定目标，通常也不清楚网络攻击造成了什么损害，因此也不清楚应该采取什么相应的应对措施。网络攻击的影响并不总是显而易见的，例如摧毁整个计算系统，但它可能更加隐蔽，例如窃取数据、植入坏数据或安装间谍软件来窃听通信。由于某些网络攻击（例如零日漏洞）从未在现场尝试过，而不是在受控的实验室环境或“数字沙箱”中进行，因此根本无法保证网络攻击会按预期发挥作用。它可能会产生部分或意想不到的影响，这些影响可能比预期的更糟糕，因此在这种情况下会升级，例如，如果整个平民电网被切断，导致冬季寒冷或夏季高温导致人员死亡。

再次，网络攻击是否已经发生通常很难判断，因为网络攻击可能看起来像是系统正常的非网络故障。IBM在其2022年报告中估计，平均而言，一个组织需要207天（约7个月）才能确定发生了入侵，然后再花70天来遏制它。如果需要数月或数年才能发现网络攻击已经发生，那么即使确定了肇事者，这种滞后时间也会削弱迅速采取行动的紧迫性和冲动。

在太空中，风险更大，因为监控遥测的访问可能不定期，并且仅限于视线范围内。除非在设计时将远程数据取证功能内置到航天器中（这种情况很少见），否则结论性取证可能需要物理访问，例如磁盘工件，因此鉴于外太空难以进入，这不是一个切实可行的选择。

除此之外，许多网络攻击事件没有报告，原因多种多样，包括不想让对手或黑客知道某次网络攻击的破坏程度。如果攻击有效，公开披露可能会鼓励更多此类攻击；如果攻击无效，攻击者将浪费时间继续尝试这种策略，并会提供更多关于肇事者的数字证据。公开报告还会吓跑客户和投资者，还有其他一些自私的原因。

因此，我们可以合理地预期，外太空网络攻击将成为对手和其他不法分子的一种有吸引力且有效的工具，其原因至少与网络攻击在地球上如此普遍相同。

7. 更高的赌注

我们在这里讨论的对太空网络攻击更加关注的最后一个原因是，与其他网络攻击相比，太空网络攻击的风险异常高，而且比大多数人意识到的要高；因此，这种威胁需要更多的关注。

首先，许多关键服务都是由太空系统实现的。如介绍部分所述，GPS和其他卫星提供我们日常使用的定位、导航和计时服务。天气和其他地球观测卫星提供数据和图像，用于监测、管理和预报我们关心的许多事物，具有农业、生态、社会、经济和政治（国家安全）效益。因此，这些服务的丧失将对空中和海上导航以及金融交易和其他通信等造成严重破坏。此外，太空系统被视为“军事行动的直接推动者”，因此本身就是高度战略性目标。

即使重要的服务不受影响，太空系统也可能成为引人注目的象征性目标。这些可能对那些希望以奇观震撼人心的恐怖分子和活动团体来说更为重要，而不是那些希望造成混乱和扰乱信息作为动能攻击或其他行动前奏的国家行为者。鉴于网络攻击比动能攻击的成本和风险要低得多，非国家行为者可以更好地承担发起网络攻击以造成各种影响（从微不足道到严重）的后果。如果太空系统的网络安全措施落后，那么它就会成为更具吸引力的目标。

协调的小型人造卫星星座因其巨大的覆盖范围而越来越受欢迎，例如可以发射人造卫星互联网、电话和电视信号，但它们可能具有独特的网络漏洞。例如，卫星群或星座中的每颗人造卫星通常都与其他人造卫星相同或几乎相同；这意味着对一颗人造卫星有效的网络攻击可能对所有人造卫星都有效。如果一次只击落一颗人造卫星是最不切实际的，例如每颗人造卫星都需要的非常昂贵的反卫星导弹，那么开发一个零日漏洞来执行这项工作将更为合理和具有成本效益。此外，这些星座还带来了新的问题，例如造成更多干扰天文学的光污染，此外，考虑到涉及的人造卫星数量之多，还可能增加更多的轨道碎片。

太空垃圾仍然是外太空最紧迫的威胁之一，至少在我们关心的轨道上是如此。虽然网络攻击的优点通常是不会产生更多的太空垃圾，但情况可能并非总是如此。例如，从人造卫星窃取数据不会扰乱人造卫星的运行，但更严重的网络攻击可能会完全破坏太空物体，使其在功能上变成一块巨大的太空垃圾，以后可能会变成更多的碎片。

根据太空物体内的目标系统，网络攻击可能会产生动能效应（例如电池过热和超载导致爆炸），从而将太空物体碎裂成许多碎片，可能多达数千个，这些碎片也需要追踪和避免。如果失灵的太空物体脱离轨道，其部件也可能会像雨点一样落回地球，无论是无意还是有意，都可能对财产和生命造成损害。

如上所述，尽管网络攻击由于其隐蔽性和不造成大量人员伤亡的特点，挑衅性较低，因此升级程度较低，但太空环境的特殊情况也可能引发相反的反应。每个国家在防止地球上的网络攻击方面都遇到了麻烦，而且有理由相信太空中的网络攻击将会增加，这也是如上所述的。与此同时，各国都有很强的积极性来阻止针对其系统的网络攻击，尤其是那些对国家安全和情报至关重要的系统。如果没有间谍卫星和其他能力，现代军队在没有轨道上的有利位置和其他太空服务（如GPS和通信）的情况下将处于极大的劣势。

这些因素的汇合显然促使俄罗斯宣布，任何人造卫星黑客行为都可能被视为战争行为或开战借口。无论这种威胁是夸张还是真实，它仍然具有预期的威慑效果，因为即使是战争的可能性也会是一个可怕的幽灵，可以撼动全球金融市场并造成其他混乱。这也令人不安，因为战争本应是最后的手段，因为它是如此可怕，但俄罗斯却表示愿意在单纯的人造卫星黑客攻击上走这条路——至少没有人死亡或受到直接伤害——在俄罗斯与民族国家之间短暂的历史上，这种攻击还没有引发刑事起诉，更不用说到目前为止如此戏剧性的武力威胁了。这种威胁还凸显了太空资产在现代军事中发挥的重要作用，以及俄罗斯和所有其他国家对保护太空系统免受网络攻击的迫切需要。

与俄罗斯开战对每个人来说都是生死攸关的。俄罗斯总统普京等已经暗示，如果国家遭受严重攻击，将采取焦土战略，并发表这样的言论，“我们为什么需要一个没有俄罗斯的世界？”同样，无论这种威胁是否虚张声势，它仍然可以产生预期的威慑效果。除给对手带来过高、过大的成本外，实际的或感知到的不合理性还会扰乱博弈论中的权衡，博弈论试图根据对手或竞争对手的预期反应或动作来绘制一条获胜的路径或动作；非理性行为者往往会违背预期。

就像其焦土战略一样，在撰写本文时，如果俄罗斯真的打算将核武器送入轨道，哪怕只是作为反卫星武器，它可能会不顾一切地退出其在1967年谈判并批准的《外太空条约》。事实上，俄罗斯开始明确表示它可能同意在外太空使用核武器。

如果俄罗斯不是在虚张声势，此举将违反《外太空条约》的一项基本原则；第4条规定，“本条约缔约国承诺不在地球轨道放置任何携带核武器或任何其他种类大规模杀伤性武器的物体，不在天体安装此类武器，也不以任何其他方式在外太空部署此类武器。”

如果地球上发生大规模动能战争后国家仍然存在，那么太空网络攻击的更大风险与空间碎片问题有关。地球上的动能战争，尤其是太空强国间的动能战争，可能会蔓延到太空中的动能战争，而这不受任何具有法律约束力的规则的禁止。如果一次直接上升式反卫星试验产生的空间碎片比现有的多25%——反卫星试验和碎片的产生都没有受到法律禁止——那么一场全面的太空战争将通过破坏轨道数百或数千年而摧毁各方的太空雄心。

虽然“凯斯勒现象”（由轨道碎片制成的行星监狱）的风险可以而且应该成为对外太空侵略的威慑，但它也可能是一些网络攻击者的目标，无论是不负责任的国家、恐怖分子、黑客活动分子还是其他行为者，正如本报告中的一些情景所假设的那样。例如，一个没有太空资产、不依赖太空服务的非航天国家（至少在其自己的(错误)认知中）可能会认为污染地球轨道不会有什么损失，但这样的国家如何确保反卫星导弹或所需的网络专业知识仍是一个悬而未决的问题。

本节的结论是：即使网络攻击是外太空冲突的主要形式，并且动能冲突的代价对于理性行为者来说可能高得令人无法接受，但这并不意味着我们不需要紧急制定更有效的太空治理和激励措施来防止此类动能冲突和军备竞赛。

太空军事化持续进行，且缺乏防护措施，这仍令许多人感到担忧，误判可能会意外引发太空战斗。例如，赋予人造卫星防御能力以自动跟踪、禁用或摧毁其他人造卫星的项目需要认真考虑其对轨道环境可持续性以及升级动态的影响，尤其是在人工智能或人类做出错误防御决策的情况下，以及在未来与同样具有自主防御能力的敌对人造卫星发生冲突的情况下。

战争通常涉及一些不合理的行为者，他们会威胁数百万人的生命，造成经济和环境损害，而其收益却不明朗，因此我们不能依赖理性或运气来保护脆弱的太空环境免受人类战争的影响。即使是有限规模的动能冲突，即使是一次事件，也可能迅速升级为更广泛的太空冲突和/或产生新的碎片，产生连锁反应，使我们更接近“凯斯勒现象”。至少，一旦所谓的闸门打开，一场有限规模的太空动能冲突将开创一个危险的先例，也许会降低下一次动能战的门槛。

除可治理的国家行为者外，网络攻击还可能来自非国家行为者，他们可能根本不关心太空可持续性，例如混乱分子和其他极端分子，他们乐于引发“凯斯勒现象”。例如，他们的网络攻击可能针对航天器的关键部件，该部件的故障可能导致爆炸，并产生数千块或更多危险的太空垃圾。

在网络战可以得到治理的范围内，太空网络战的治理当然也应该得到解决。然而，挑战在于，地面网络战和网络攻击一直顽固地抵制国际协议，尽管外太空的特殊情况可能为取得更好的进展带来希望。

基于上述背景，在接下来的章节中，我们将介绍ICARUS矩阵来生成太空网络安全的新场景，以及一套强大的新场景和批判性思维问题来开发和探究新场景。

（未完待续）