美國聯邦通信委員會更新受管制清單，納入外國製造的家用路由器

背景

美國聯邦通信委員會（FCC）近期宣布更新其「受監管清單」（Covered List），將外國製造的消費者等級路由器納入其中。此舉旨在應對日益嚴峻的國家安全風險，特別是針對惡意行為者利用家用及小型辦公室路由器的漏洞，對美國民眾發動網路攻擊的威脅。

社群觀點

針對 FCC 的這項新政策，Hacker News 社群展開了激烈的討論，首要的質疑點在於「美國製造」的定義與可行性。許多網友指出，目前市場上幾乎找不到完全在美國本土生產的消費者等級路由器，甚至連 Cisco 等企業級設備也多在海外組裝。這引發了對政策執行面的疑慮，有人諷刺地表示，如果真的要追求純美國製造，或許只能回歸到用線牽著的錫罐電話，或是高價生產摩斯密碼電鍵與銅線。部分討論者則推測，這可能會導致一種折衷的生產模式：美國工廠進口硬體外殼，但在國內進行韌體燒錄，以符合法規要求。

除了製造地的爭議，社群對於「安全性」與「產地」之間的關聯性抱持高度懷疑。有觀點認為，路由器的安全漏洞源於製造商長期以來糟糕的開發習慣，而非生產國別。安全專家過去二十年來不斷呼籲重視此問題，但政府機構如 FCC 或 FTC 過去並未強制要求韌體安全標準，導致市場充斥著安全性低落的設備。網友批評，這種以國安為名的禁令更像是保護主義政策，旨在圖利特定的政治捐助者，而非真正解決技術上的後門問題。事實上，許多美國品牌設備同樣存在為了維修方便而預留的後門，或是因應執法部門需求而削弱加密強度，安全性從未真正成為 FCC 審核流程的核心。

在法律與制度層面，討論者也提到了近期美國最高法院對 Loper Bright 案的裁決，這實質上削弱了行政機關的裁量權。網友好奇 FCC 是否有足夠的法律授權來推行這種針對特定產地的限制，並預期這類政策未來可能面臨司法挑戰。與其直接禁止特定設備，社群中更傾向於推動「韌體審計」制度，建議應強制要求廠商開放韌體供獨立第三方機構（如 UL 實驗室）進行安全驗證。然而，這也引發了技術實務上的爭論：即便原始碼公開，一般消費者也難以驗證市售硬體內的韌體是否與原始碼一致。

最後，關於政策的追溯力，討論中也釐清了目前的限制僅適用於「新申請」的設備型號。這意味著零售商仍可繼續銷售已獲得授權的舊款型號，消費者現有的設備也不受影響。這種過渡期的設定雖然緩解了市場衝擊，但也讓部分網友認為這只是在延後問題，而非從根本上提升美國網路基礎設施的安全性。

延伸閱讀

• Mono Gateway：留言中提到可能受此政策影響的特定硬體設備。
• Loper Bright Enterprises v. Raimondo (2024)：涉及行政機關權力限制的重要法律判例，被認為可能影響 FCC 政策的合法性。