安全厂商也中招:Trellix源码泄露撕开供应链软肋

做安全的不安全，听起来像个笑话，却是最近真实发生的事。

Trellix是谁？

Trellix由FireEye和McAfee Enterprise合并而来，是全球最大的企业安全厂商之一，其产品覆盖终端检测与响应（EDR）、网络情报、安全服务等多个领域。简单说，这是一家”给全球企业做安保”的公司。

发生了什么？

Trellix遭遇源码泄露事件，攻击者将部分内部源码公开发布在地下论坛。目前公开信息有限，但安全圈已公认这类事件的危害性：源码泄露等于把产品的”施工图纸”交给了攻击者。

源码泄露的真正威胁

很多人觉得”源码泄露≠数据泄露”，其实不然。对于安全厂商来说，源码泄露意味着：

• 检测规则暴露：攻击者可以逆向分析产品是如何识别恶意代码的，进而优化自己的免杀技术
• 0day潜力：找到源码中的漏洞利用链，比黑盒挖掘快得多
• 供应链投毒：如果攻击者获得CI/CD权限，可以在正规更新包里植入后门——这就是著名的SolarWinds路线

事实上，SolarWinds事件后，安全行业就形成了一个不成文的共识：越懂安全的攻击者，越知道该打谁。而安全厂商的源码，恰恰是攻击者眼中的”高价值目标”。

这次事件意味着什么？

供应链攻击的本质是”信任传递”——你信任上游厂商的产品，然后这种信任被攻击者利用。Trellix事件再次说明，安全行业不能”只防外不防内”，对内部系统的防护等级至少要和防护客户一样高。

对于企业安全团队而言，这条新闻的启示很直接：不要盲目信任安全厂商的”防护能力”，了解你用的产品在什么环境下运行、谁有权限接触它的核心资产，这本身就是一道必须回答的问题。