文章总结： 委内瑞拉CANTV在军事行动前发生BGP泄漏，经分析确认为技术失误而非情报劫持，因路径具有自降优先级特征。事件暴露RPKI验证局限，建议运营商落实ASPA新标准及仅限客户属性，以防范路由泄漏风险。 综合评分： 86 文章分类： 网络安全,漏洞分析,技术标准,安全运营

间谍行动还是技术故障？委内瑞拉BGP泄漏事件真相剖析

FreeBuf

2026年1月8日 18:31 上海

Part01

事件概述

近期安全分析师发现，委内瑞拉国有电信公司CANTV在美国针对尼古拉斯·马杜罗的军事行动前夕发生BGP泄漏事件。通过事后数据分析还原，部分观察者推测这可能是美国政府为获取军事行动关键情报而实施的流量劫持。

Part02

间谍行动还是技术故障？

这一发现迅速引发安全社区广泛关注，并引起Cloudflare安全研究团队的注意。但经过历史路由数据核查，Cloudflare分析师Bryton Herdes认为CANTV的BGP泄漏更可能是技术失误所致——当地时间2026年1月2日，就在美国对委内瑞拉发起特别军事行动前，该国国有运营商CANTV（AS8048）出现了明显的BGP泄漏。

部分分析人员观察到，AS8048的流量异常重定向至意大利中转服务商Sparkle，这家以不执行RPKI过滤且安全声誉不佳闻名的运营商。有观点将此路由异常解读为情报机构为实施中间人拦截与流量收集的蓄意操作。值得注意的是，异常路径表现出极端自降优先级特征：AS8048执行了多达十次AS路径预置（AS-path prepending），这在BGP协议中会导致路由吸引力骤降。

Cloudflare团队指出，若攻击者意图窃取流量，理应发布更短、更具吸引力的路由，而非刻意制造多次绕行。另一个关键证据是事件复发模式——自2025年12月以来，AS8048已发生多达11次类似路由泄漏，强烈表明这是CANTV长期存在的出入口过滤策略缺陷，而非针对特定军事行动的孤立行为。

运营商层级关系同样削弱了间谍论调。受影响IP前缀属于委内瑞拉本地服务商Dayco Telecom（AS21980），而CANTV作为其上游运营商本已拥有合法流量访问权限，实施复杂BGP劫持显得多此一举。该事件再次暴露BGP安全机制的脆弱性——尽管Sparkle因未执行RPKI过滤被标记为不安全，但即便部署RPKI路由源验证（ROV）也无法阻止此类异常，因为ROV仅能验证路由发布者身份，而本次事件中路由源并未改变，仅中间路径异常。

Part03

事件暴露的安全问题

这一局限性凸显了IETF正在推进的新标准ASPA（自治系统提供商授权）的重要性。ASPA允许网络正式声明其合法上游提供商，若广泛采用，可自动阻断AS8048流量不当转发至无关提供商的”发夹式”泄漏。

Part04

事件启示

Cloudflare警示称，虽然将委内瑞拉网络异常归因于电信级特殊行动更具戏剧性，但现实往往更为平淡：互联网基础设施最严重的弱点常源于基础运维失误。该事件提醒全球运营商，在混合战争时代，全面落实RFC 9234标准和”仅限客户”（OTC）属性已不仅是技术实践，更关乎国家基础设施保护。

参考来源：

Spy Games or Glitch? The Truth Behind Venezuela’s BGP Leak

Spy Games or Glitch? The Truth Behind Venezuela’s BGP Leak

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《间谍行动还是技术故障？委内瑞拉BGP泄漏事件真相剖析》