9月15日，从事网络安全的技术员“玄道”在个人公众号发文称，微软利用其垄断地位使用UCPD.sys在注册表深层隐藏加密数据、动态释放未知程序，获取用户数据。

此外，UCPD还内置了针对中国软件厂商的拦截机制，通过数字签名黑名单、进程名黑名单、进程路径黑名单进行过滤，限制第三方软件与微软体系软件的竞争，维护其市场垄断地位。

继7月英伟达H20芯片暗藏“后门”被中国政府约谈后，微软被曝暗藏针对中国用户的“后门”，引发了公众对用户隐私、数据安全，乃至国家安全该如何保障的集体担忧和广泛关注。

精准“狙击”中国软件

此次微软“后门”事件的主角是UCPD.sys（全称为User Choice Protection Driver，用户选择保护驱动），一款“保护用户设置的默认应用不被第三方软件随意修改”的工具。

15日，玄道通过逆向工程深入研究发现，UCPD程序暗藏玄机，它内置了一套黑白名单机制。其中黑名单上，令人震惊的是，这份黑名单中集中出现了腾讯、搜狗、360、金山、2345、联想等数十家中国企业的产品，涵盖安全软件、输入法、浏览器等核心应用领域。

这种选择性屏蔽并非基于技术缺陷，而是通过注册表键值监控实现的精准拦截——当中国软件尝试修改默认应用时，UCPD会直接返回“操作失败”的错误代码，而同类功能的国外软件却能顺利通过。

值得注意的是，微软的UCPD驱动在不同地区呈现出不同的状态。在欧盟地区，受《数字市场法》（DMA）的要求，微软推出“公平模式”，用户可以一键切换包括浏览器、PDF阅读器和Office软件的默认应用，系统不会阻拦用户对默认应用的修改，更不会自动恢复原有设置。

但在欧盟以外，包括中国地区在内的用户，都会在切换默认应用时，被该程序“横加阻拦”，甚至会在系统更新或重启后自动恢复到系统自带应用。在中国，微软的UCPD是以官方系统自带的身份，对国内用户执行了高度隐蔽的后门式操作，大多数国内用户不仅无法选择，甚至是不知情的，这直接加剧了信息泄露的风险。

按照微软的公开说明，UCPD.sys 是一个“用户选择保护驱动”，主要用于防止恶意软件随意更改默认浏览器或文件打开方式。表面上看，这应该相当于一个“系统设置守护神”的功能，但网上曝光的技术追踪显示这个组件比想象中更复杂。

据玄道披露，UCPD.sys 会在系统注册表的深层路径写入一串加密数据，这些数据在常规工具看来是无意义的乱码，但它其实会持续监视注册表路径变更，微软可以通过云端配置系统向该注册表项写入数据，UCPD一旦检测到变化，便会立即读取并解析其中的内容。

随后UCPD.sys就会调用解密逻辑，把这些数据转换成可直接运行的可执行程序（PE文件）。这些程序并非用户主动安装，却能直接运行，功能未知，甚至可能接收远程指令。换句话说，它像木马一样，利用注册表当作仓库，在暗中释放程序。玄道表示，这已经超出了“保护默认设置”的范畴，就是一个潜伏的后门。

可对用户精准画像

据玄道披露，更令人不安的是，UCPD.sys对中国用户有额外一层监控。具体表现为，UCPD会主动读取系统地理位置编码。当代码为中国（45）、中国香港（104）、中国澳门（151）或中国台湾（237）时，驱动会激活额外的监控功能并开启日志上报行为。

而日志内容极其详尽，包括ProcName（进程的完整路径）、ModifingModulePublisher（模块的数字证书签发者）、RegKeyPath / PreProgId（试图修改的注册表路径及修改前后的值）以及UCPDVersion / CloudRuleVersion（驱动和云规则的版本）。如果用户系统开启了“发送可选诊断数据”，这些日志将被加密上传至微软服务器。

也就是说，这些报告不仅记录了你做了什么，还记录了你用了谁家的工具，以及系统最终是如何处理的，这些数据汇聚到微软，足以清晰还原出中国用户的软件使用习惯和偏好。

因此，对于个人用户而言，应用使用习惯、文档处理记录、企业软件选择等信息，可能早已被系统性采集。对于政企与科研机构而言，风险更加严峻。中国数以千万计的终端运行在Windows平台上，如果UCPD.sys这样的组件被恶意利用，它可能成为境外攻击者渗透关键信息基础设施的突破口。

实际上，这已经不是美国巨头企业第一次陷入“后门”风波。2025年7月，国家互联网信息办公室正式约谈英伟达公司，要求其就对华销售的H20算力芯片存在的“漏洞后门”安全风险作出说明。

事实上，微软系统 “留后门” 并非首次，过往案例早已证明其对数据安全的巨大威胁，且攻击目标多次直指中国关键领域。

2025 年哈尔滨亚冬会期间，美国 NSA（国家安全局）利用 Windows 系统后门，对我国能源、交通、通信等关键设施发起 27 万次攻击，若成功渗透，赛事信息系统乃至城市运行网络都可能瘫痪；2024 年曝光的 “BITSLOTH” 后门，更是能偷偷记录键盘输入、截屏电脑屏幕，其代码中包含的中文日志，直接暴露了 “针对中国用户” 的意图；2019 年的 “SockDetour” 后门，则在服务器中潜伏两年半，通过劫持系统程序悄悄传输数据，成为境外势力窃取商业机密的 “隐形通道”。

而在更早之前，2022年7月至2023年7月，国家互联网应急中心（CNCERT）监测到美国情报机构利用微软Exchange邮件系统漏洞，长期攻击我国军工企业、航天研究所及生物医药公司。

截至目前，微软方面尚未对此事作出正式回应。针对这一问题，国内多家网络安全公司已经开始进行深入分析，并呼吁相关部门对此事进行调查。同时，专家也建议用户提高警惕，尽量使用国产操作系统和软件，以减少对国外软件的依赖，从而降低潜在的安全风险。

（经济观察网 李强/文）