文 | 青橙财经，作者丨青风，编辑丨六子

微软被曝在华产品留有后门。

去年，微软曾推出一个名为“UCPD”的Windows驱动程序，能阻止不受信任的第三方软件修改浏览器、文档等默认打开程序。

但专业人士通过逆向工程发现，这个原本被设计为保护用户的程序，却成为了微软最底层的“自留地”。而且，该后门尤其针对中国用户和中国的众多知名软件。

*图源财经网科技微博

01「“保护默认设置”变成了木马后门」

微软在2024年3月推出了 UCPD 驱动程序。这个程序全名为“用户选择保护驱动程序”，原本用于防止软件随意更改默认浏览器或文件的打开方式。比如，有人将默认浏览器设置为Chrome，有人习惯用WPS打开文档。

表面来看，这似乎是一个保护用户设置的小“保安”。然而技术追踪显示这个组件远比想象复杂得多。

据安全专家分析，这个小“保安”是一串加密数据，深藏在Windows系统注册表里。一旦检测到用户设置的默认应用有被修改的操作，微软就可以通过云端配置系统向它发送指令，实际是写入数据，然后调用解密逻辑，再把这些数据转换成可直接运行的可执行程序。

它手上有两份名单，一个白名单，一个黑名单。白名单里的放行，黑名单里的就会被阻止、拦截。微软自己的Edge浏览器、Office办公软件，自然都在白名单里。

而当这个“保安”被触发激活时，它还会记录用户（尤其是中国地区用户）的很多操作，比如运行了什么软件、该软件的证书信息、修改了系统哪些设置、在白名单还是黑名单中、以及是否成功还是被拦截等。所有这些细节都被打包成一个模糊名称的日志。一旦用户开启了“发送可选诊断数据”，这些涉及个人隐私和商业机密的信息就会通过加密通道，无声无息地流向微软的服务器。

可怕的是，上述操作的整个过程完全在后台静默进行，用户对此一无所知。

非用户主动安装，能直接运行，功能未知，甚至可能接收远程指令。这显然超出了“保护默认设置”的范畴，其运行逻辑几乎和典型的木马程序如出一辙：利用注册表深层路径隐藏关键数据；满足系统事件后才会释放可执行文件；动态生成，新程序功能不明，却能直接运行；对特定地区用户采集数据并传输……

UCPD 驱动程序和木马的唯一差别在于，木马是陌生的可疑程序，而 UCPD却带着微软官方签名。它拥有最高权限、最深信任度，让安全软件也难以察觉。当一个后门披上了“官方组件”的外衣，它的隐蔽性与危险性更甚于木马。

02「国内用户被区别对待」

技术专家还发现，UCPD并不是对所有用户一视同仁，尤其对中国区别对待。

它会从系统注册表中读取地理位置代码，只有当代码为中国大陆（45）、中国香港（104）、中国澳门（151）或中国台湾（237）时，才会全面激活所有监控功能，并强制开启数据上报机制。

对于欧美等其他地区用户，这些侵犯性的功能则完全不会触发。只有中国的用户运行了哪些软件，都会被保安详细记录成“小报告”（日志），然后加密寄回微软总部。

技术分析发现，UCPD还内置了针对中国软件厂商的拦截机制，通过数字签名、进程名、路径匹配等三重黑名单进行过滤。只要任何一项对上，保安就会立刻阻止该软件修改系统默认设置。据查，在黑名单中的中国软件厂商包括360、搜狗、金山、腾讯等。

这几家的产品主要是安全、浏览器、输入法、搜索、办公等工具软件，与微软的很多产品有直接竞争。比如360浏览器、QQ浏览器对标微软Edge，搜狗输入法对标微软输入法，金山WPS平替微软Office等。

而且，这几家软件的用户量巨大，市场渗透率也都非常高。以360为例，根据最新的财报数据，360安全卫士（PC端）平均月活跃用户数达4.3亿，市场占有率约95%；360安全浏览器平均月活跃用户数近4亿，市场占有率约80%。

直接的竞争，与庞大的用户规模，无疑给微软带来极大竞争压力。而微软UCPD驱动程序的暗中拦截行为，难免有既当球员、又当裁判员的嫌疑，明显属于不正当竞争。

当然，有不少用户对360、搜狗、金山等软件“强绑定”的行为，颇有微词，但微软UCPD的做法同样没有为用户提供选择权，既不当竞争，也有地域歧视。

形成鲜明对比的是，中国用户面临 UCPD的强制与后门，但在欧洲市场，微软却不得不按照《数字市场法》（DMA）的要求推出“公平模式”。由此可见，这不是技术能力问题，而是微软策略上的差别对待。

03「屡教不改」

事实上，这并不是国外科技企业首次被曝“后门”安全风险。

今年7月31日，国家互联网信息办公室约谈了英伟达公司，要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明材料。9月15日，国家市场监督管理总局发布消息称，英伟达因违反反垄断法，被该局依法决定实施进一步调查。

而把视线拉长，会发现一直标榜信息安全的微软，竟然被多次曝光存在安全漏洞或后门程序。

今年8月，国家互联网应急中心（CNCERT）监测发现，近年来，美国情报机构将网络攻击窃密的重点目标瞄准我国高科技军工类的高校、科研院所及企业。其中，2022年7月至2023年7月，美情报机构利用微软Exchange邮件系统零日漏洞对我国某大型重要军工企业的邮件服务器攻击并控制将近1年。

据央视新闻披露，2025 年哈尔滨第九届亚冬会赛事信息系统和黑龙江省内的部分关键信息基础设施遭到境外网络攻击分别为27万次、5000万次，部分数据一度面临泄露风险。据报道，上述攻击是美国国家安全局基于微软Windows操作系统的特定设备发送未知加密字节，疑为唤醒、激活微软Windows操作系统提前预留的特定后门。

*图源央视

不仅如此，微软还利用Windows操作系统的市场优势，推广自家的Edge浏览器，诱导用户将其设为默认。比如，修改Chrome下载页面，使用类似恶意软件的弹窗干扰，在访问Chrome、Firefox或Opera时强行跳转到Edge，甚至通过Windows更新擅自启动Edge并将其固定在桌面和任务栏。对此，Opera浏览器在2025年7月向巴西竞争监管机构提出投诉，指控微软通过预装、误导性设计和人为增加设置难度等方式推广Edge。

从上面诸多的案例可以看出，微软系统后门事件不断，是一个“屡教不改”的惯犯。通过各种“水面下”的操作，威胁着全球用户的信息安全和国家安全。这也在时刻提醒国人，政务、能源等关键领域需全面切换至国产操作系统，避免完全依赖Windows生态。