卡巴斯基的案例表明，安全软件可以被情报机构当成强大的间谍工具来利用。

Digita Security首席研究官Patrick Wardle和前NSA黑客通过逆向卡巴斯基实验室杀毒软件来验证可以将其变成强大的机密文档搜索工具。

Patrick Wardle 在接受《纽约时报》采访时说： “在与恶意代码的对抗中，杀毒产品是主力军。但是具有讽刺意味的是，这些产品与他们试图检测的先进网络间谍有许多共同之处。”

“我想知道这是否是一个可行的攻击机制，”Patrick Wardle先生补充说。 “我不想对谁进行指责。单从技术角度来看，如果一个反病毒厂商想要或者说被强迫，又或者被黑客攻击或以某种方式被逆向等等场景下，我们是否可以创建一个签名来识别机密文件？”

去年12月，美国总统唐纳德·特朗普签署了一项禁止在联邦机构使用卡巴斯基实验室产品和服务的法案。

根据爱德华·斯诺登（Edward J. Snowden）泄漏的绝密报告草案来看，国家安全局最早自2008年起就盯上了反病毒软件（比如Checkpoint和Avast）想方设法使用他来收集存储在目标机器中的敏感信息。

Wardle先生对卡巴斯基实验室反病毒软件进行了逆向工程，以探索将其用于情报收集目的的可能性。 专家们的目标是伪造一个签名来检测机密文件。

Wardle先生发现代码非常复杂，与传统的防病毒软件不同，卡巴斯基的恶意软件签名很容易更新。 这个功能可以被滥用来自动扫描受害者的机器，然后窃取机密文件。

“现代反病毒产品是非常复杂的软件，卡巴斯基可能是最复杂的一个。 因此，单单就理解其签名和扫描逻辑就已经十分具有挑战性了。” Wardle写道。

卡巴斯基的反病毒引擎会定期检查并自动安装任何新的签名。当新的签名可用时，反病毒引擎会从卡巴斯基更新服务器的kav守护进程那里把他们下载下来。

Wardle发现杀毒软件扫描可能会被用于网络间谍活动。

专家指出，官员经常会对最高机密文件进行“TS / SCI”（“最高机密/敏感分区信息”）标记。所以专家就在卡巴斯基反病毒程序中增加一条规则，来标记任何包含“TS / SCI“标记的文档。

为了使新规则生效，研究人员在他的电脑上编辑了一个文件，就是小熊维尼儿童读物（the Winnie the Pooh children’s book）系列的文本，并添加了“TS / SCI”标记。

当这个文档被保存到他的机器上时，卡巴斯基的防病毒软件就标记并隔离了这份文档。

Wardle测试的后续阶段是发现反病毒引擎是如何管理被标记的文档的，他表示反病毒软件将数据发回公司进行进一步分析是正常的。

卡巴斯基实验室解释说，Wardle的研究方法不正确，因为公司不会以隐身的方式向一个特定用户提供特定的签名或更新。

“卡巴斯基实验室不可能以特定的秘密方式向特定的用户提供特定的签名或更新，因为所有签名总是公开给所有的用户使用的; 并且所有更新都进行过数字签名，所以进一步伪造更新是不可能的“，卡巴斯基在一份声明中说。

但不管怎么说，Wardle的研究表明，安全厂商的平台确实是将杀毒软件作为搜索工具使用。

“然而，如果反病毒公司内部存有不怀好意的人，能够有策略性地部署这样的签名，其实很有可能不会被发现。当然，任何被强迫或愿意与更大机构（如政府）合作的反病毒公司，都能够悄悄地利用他们的产品来检测、利用他们感兴趣的任一文件。”专家总结说 。

有时，善与恶之间的界限 ， 或许可以根据如何使用反病毒软件来判断......