CrowdStrike更新风波：从荧幕笑料到现实危机

在美剧《太空部队》第二季之中，有这样一幕：一颗卫星失去了控制，朝着地球快速撞来，地面控制站急需解算卫星数据，用以拦截卫星避免一场灾难，但是就在这千钧一发之际，win10电脑因为系统自动升级没办法用了······

在电视剧之中，这一幕本就是为了调侃win 10系统不合时宜的更新和其超长的更新时间，但是你可能不会想到，美国许多看似不可思议的桥段不是脑洞大开，而是真的有现实基础的。这不，在上周（7月19日），微软就因推送了一个系统更新，引发了全球Windows电脑集体蓝屏罢工。

一时间，连锁反应迅速蔓延至各行各业，从金融交易到航空运输，无一幸免。此次事件中，达美航空、联合航空和美国航空等多家航空公司航班被迫取消，伦敦证券交易所的新闻发布受到影响，日本的列车行驶位置信息丢失，澳大利亚的银行和政府网络瘫痪······

众所周知，Windows系统的“蓝屏崩溃”，并不是真正的崩溃，是一种系统的保护机制。当系统检测到潜在的严重错误时，它会自动触发蓝屏以防止问题进一步恶化。如果没有这种机制，一个小错误可能会逐渐累积，最终导致系统数据遭受严重破坏。实际上，由Windows系统本身引发的蓝屏情况相对较少；更多的时候，蓝屏是由各种驱动程序的问题所引起的，特别是那些采用不当或恶意编程技巧（如内核HOOK或过滤驱动）的驱动程序。此外，不符合微软编程规范的软件或存在BUG的应用程序，例如常见的中断请求级别（IRQL）错误或违反PatchGuard保护机制的情况，同样可能触发蓝屏。

因此，本次事件之中，我们不应该把矛头指向微软的Windows，在本次大范围蓝屏的事件中，罪魁祸首就是。那么，这个CrowdStrike到底是何方神圣呢？居然能以一己之力造成如此巨大的混乱？

对于CrowdStrike，如果您是在外企或者海外工作对于这个名字一定算不陌生。CrowdStrike是一家领先的网络安全技术和解决方案提供商，专注于提供基于云计算的端点保护平台。该公司成立于2011年，总部位于美国加利福尼亚州的Irvine，并在世界各地设有办公室。CrowdStrike的核心产品是Falcon平台，这是一个高度先进的安全平台，利用人工智能（AI）和机器学习（ML）技术来检测、预防和响应各种网络威胁。Falcon平台的独特之处在于它的轻量级代理，可以在几乎任何设备上运行，包括传统的个人电脑、服务器、移动设备，甚至是物联网（IoT）设备。这个代理能够收集和分析终端上的数据，然后使用云端的AI和ML模型进行威胁检测。由于所有的处理和分析都在云端完成，因此不会占用本地设备的大量计算资源，也不会显著影响性能。

确实，在这次“蓝屏事件”中，CrowdStrike的“先进”和“安全”没有体验出来，但是确确实实让我们看到了其真的“可以在几乎任何设备上运行”，让它有了能干出如此“狠活儿”的平台。那么为什么区区一个杀毒软件就能让Windows蓝屏呢？一个杀毒软件，最重要的工作肯定就是杀毒了，因此，杀毒软件往往有着其他软件所没有的权限。而且由于它一直奋战在病毒一线，所以其自身也一定有相当高的自我保护机制，为了做到上述的两个能力，某些杀毒软件会把自己的关键程序写进系统驱动层，也就是Windows系统中的system32/divers之中。而这个system文件自然是Windows系统之中的关键部分，而好巧不巧，这次CrowdStrike推送的更新就在这个部分出现了一个“小问题”。

2024 年 7 月 19 日星期五，CrowdStrike 公司的 Falcon sensor 安全软件升级。该产品的驱动程序 csagent.sys 出现空指针异常，导致 Windows 蓝屏死机。也就是说，是因为程序会判断地址是否是0，如果是0就会跳过指令，用来避免异常的崩溃蓝屏。但是，在CrowdStrike的代码中，忘记了判断指针是否真的是有效指针，直接访问了一个空指针，直接导致系统运行不下去，进而导致了这次的系统崩溃。

如果说这一点代码错误是谁都难以避免的“小失误”，那么没有进行灰度更新，这CrowdStrike推都推卸不掉的责任了。什么是灰度更新呢？灰度更新是一种软件发布策略，它允许开发者在全面推出新版本之前，先向一小部分用户推送更新。这样做的目的是在有限的范围内测试新版本软件的性能、稳定性和安全性，同时收集用户反馈，以便在正式推出之前发现并修复潜在的问题。这种重要的系统底层更新，居然没有先小范围的推送测试，这是CrowdStrike最让人难以理解的部分，同时也是CrowdStrike必须为本次事件负责的直接原因。

那么，可能也有读者还会有一个问题？为什么这次受影响的都是外企或是外国，为什么我国没有受到波及呢？首先，有一点是我国的公共设施中的电脑一般不会采用外国的杀毒软件，因此CrowdStrike的在国内的市占率很少；其次，在我国的公共设施之中，安卓系统因其成本更低，被大量使用，而Windows只有少数系统，如火车站、医院会使用；最后，在我国，使用Windows的公共设施设备基本上都不会联网，就算需要更新也是内部统一评估之后再更新。这一套操作下来，就让我国几乎完美的避免了这次蓝屏危机。

最后，此次CrowdStrike引发的大规模蓝屏事件再次提醒我们，漏洞无处不在，而这些漏洞一旦被触发，可能会带来难以预料的后果。而灰度更新的重要性就体现在这里，一切的软件产品都应该重视灰度更新。因此，无论是技术开发者还是用户，都需要保持警惕，并采取一切适当的措施来保护自己免受潜在风险的影响。未来，随着技术的不断进步和安全威胁的日益复杂化，加强国际合作、提升应急响应能力和推动技术创新将是保障全球信息安全的关键所在。而对于像CrowdStrike这样的技术公司来说，除了需要不断改进其产品和服务之外，更应该将用户体验放在首位，避免此类事件再次发生。