5月6日国家安全部紧急发文直指视频会议失泄密问题。通报点名了三类操作会议链接不设防、会上随意录屏截图、用普通社交软件开突密会议。分析表明视频会议正在成为成体系的攻击入口而大量用户对背后的技术风险缺乏认知。本文逐一拆解这三类操作的攻击原理。一、会议链接不设防准入控制的失效不设密码、不做实名核验、会议链接直接放进工作群——这是国安部点名的第一类操作。多数视频会议系统的邀请链接并非随机字符串内部包含经过编码的会议ID、密码及主持人令牌。如果这条链接通过明文渠道传输——微信消息、未加密邮件——中间人可以截获并解码全部入会凭证。攻击者拿到的不是一个入口地址而是一套完整的身份凭据可以不触发等候室、不被踢出、甚至冒充已认证用户进入会议。另一种攻击方式是会议ID暴力枚举。部分会议系统使用递增数字作为会议ID攻击者编写脚本在有效时间段内批量尝试。如果会议未设密码撞对一个即可进入不需要任何凭据窃取。这两个攻击面的共同前提是会议凭证在传输层和应用层都缺乏保护。传输层的问题在于链接本身未加密分发攻击者可在网络节点截获应用层的问题在于会议ID可预测且未强制启用密码和等候室等二次验证机制。二、录屏截图开源情报的交叉比对逻辑私自录屏、截图共享屏幕不清桌面、不关弹窗会后随手转发资料——这是国安部点名的第二类操作。这里涉及攻击者一项长期使用的能力开源情报交叉比对。单条信息本身可能不涉密——一张会议截图、一段录屏片段、一份未脱敏的参会名单——但攻击者的核心工作不是获取完整文件而是用多源碎片还原完整情报链条。有真实案例某政务部门一次普通工作会参会者截取PPT画面发朋友圈画面中露出一份未脱敏的人员名单。之后这份名单出现在境外数据交易平台上。攻击者不需要攻破防火墙只需要持续爬取公开社交信息对不同来源的碎片做交叉比对即可拼接出可用的情报产品。另一个技术细节是屏幕共享的数据泄露面。选择“共享整个桌面”而非“共享指定窗口”时弹窗通知、桌面文件缩略图、任务栏预览会一并传输。高级攻击者可从这些边缘信息中提取与会者的系统环境、文件结构和内部通讯线索。三、平台选择传输加密与端到端加密的差异用普通社交软件、无保密资质的平台召开涉密会议——这是国安部点名的第三类操作。这背后有一个常被混淆的技术区别传输加密与端到端加密。大多数免费视频会议系统采用客户端到服务器加密。数据在传输过程中加密但到达服务器后会被解密——用于混流、录制、转码。这意味着服务器的安全边界就是会议内容的安全边界任何能接触到服务器的人在技术上都可能获取明文。端到端加密则不同。数据从发送端加密后只有接收端能解密中间任何节点——包括平台自己的服务器——都无法解密。涉密会议如果跑在没有端到端加密的平台上等于把内容托管给了不可控的服务器端。更隐蔽的威胁来自第三方插件。AI会议纪要、OCR识别等插件普遍请求屏幕录制和音频捕获权限。一旦授权这些插件就能将会议内容实时传输至后台服务器。如果后台防护不足这个数据通道本身就是窃密路径。四、真实攻击案例案例一BlueNoroff的假Zoom会议钓鱼2026年4月安全团队曝光了朝鲜黑客组织BlueNoroff的攻击链。攻击者伪装成金融科技公司法务发送Calendly会议邀请目标确认后Google Meet链接被悄悄替换为仿冒Zoom域名——仅差一两个字母。点击后出现假Zoom界面假视频窗口、循环播放画面、“正在发言”标识一应俱全。随后弹窗提示“SDK版本过低”引导复制粘贴“诊断命令”——粘贴瞬间PowerShell执行命令被换入剪贴板攻击载荷加载完成。从点击到控制全程不到五分钟。攻击者在受害者设备上潜伏了66天持续窃取浏览器凭证、会话数据和实时摄像头画面。安全团队在攻击者的托管服务器上发现超过950个文件包括AI生成头像、真实摄像头画面及两者合成的深伪视频。这些素材被用于制造虚假身份进行下一轮社会工程攻击。此次行动波及20多个国家CEO和创始人占全部识别目标的45%。案例二TrueConf供应链后门2025年底TrueConf视频会议系统被发现存在供应链攻击漏洞。攻击者渗透更新分发服务器向特定目标推送带后门的安装包受影响版本覆盖8.3.2至8.4.1时间跨度从2023年6月到2024年11月。后门激活后可窃取会议录像、聊天记录、共享文件并横向移动至其他系统。TrueConf在2025年8月发布了修复补丁但首批攻击在数周后仍被检测到——补丁发布了不等于补丁被安装了。五、基于攻击面的防护要点以上分析指向同一问题每类操作背后都有一个可被利用的技术攻击面。防护要点围绕攻击面展开。准入层面会议链接通过加密渠道一对一发送避免通过明文消息传递会议ID采用随机生成强制启用密码和等候室双重验证。内容层面屏幕共享选择“共享指定窗口”而非“共享整个桌面”会前关闭非必要弹窗通知清理桌面敏感文件检查系统中是否有未授权的第三方应用正在访问音频或屏幕捕获接口。平台层面涉密会议使用国产合规专用系统确认启用端到端加密会后检查管理后台确认录制文件已在服务端彻底删除包括备份节点。平台安全合规等级可参考中国信通院“铸基计划”相关测评标准。视频会议不是法外之地。便捷本身没有错但把便捷当作安全的替代品就是在赌概率。攻击者的工具在进化手法在升级。技术防护解决的是“能不能做”的问题而安全习惯解决的是“会不会出事”的问题。下一次点击“复制-粘贴”之前多停三秒。那三秒可能就是防线和事故之间的距离。以上观点来自个人学习与工作思考仅供参考。参考资料1. 国家安全部. 视频会议失泄密预警. 2026年5月.2. 保密观. 央企视频会议泄密案例. 2026年2月.3. Check Point. TrueConf供应链攻击报告TrueChaos行动. 2025-2026.4. 中国信通院. 铸基计划——视频会议平台安全合规测评. 2024.