基于网络的开源情报调查方法创新与应用
——以英国私营情报调查机构“摇铃猫”为例

李景龙 周 伟

(信息工程大学洛阳校区 洛阳 471003)

大数据时代，开源情报的搜集、分析、分发和使用均发生了显著变化，以互联网络、社交媒体为代表的新技术的大规模普及应用改变了传统开源情报调查以文献研究和文本分析为主要研究方法的情况，新的研究方法在丰富的情报实践中不断产生应用，创造了良好效益。美军2021年版《国防部军事及相关术语词典》(Department of Defense Dictionary of Military and Associated Terms)将开源情报定义为：“为回应已知或预期的情报需求而对可公开获取的信息进行系统的搜集、加工和分析之后得到的相关信息。”当前的开源情报工作定义，不再强调素材本身的开源属性，而是搜集和分析素材的研究方法。国内学者洪磊在《国外开源情报工作历史和发展研究》中将开源情报划分为4个阶段，当前我们所处的就是其中第4阶段-开源运动时期，信息源搜集和分析的重心已经转移到网络媒体、社交网络、物联网信息和数据库信息。基于上述原因，笔者认为当前开源情报调查的实施者往往集信息搜集、分析判断、使用分发的不同角色于一身，必须依托新模式和新方法才能更好地完成高度一体化的任务。本论文以英国私营情报调查机构“摇铃猫”(Bellingcat)的开源调查报告为基础研究素材，采用文献分析和案例分析相结合方法，着重研究开源情报调查方法的创新背景、主要特征和适用场景，并对其应用价值做出客观评估。

1 基于网络的开源情报调查方法

1.1 传统开源情报调查方法

在互联网时代到来之前，开源情报的主要来源是广播、电台、图书、杂志、电视、新闻媒体以及政府和民间机构公开的信息和数据等。梅建明等在《论开源情报的渊源、变革及其影响》一文中认为，在传统的开源情报中,开源情报基本来源于传统的纸质媒体(报刊、图书、档案资料等),以纸质信息来源为基础的开源情报也只不过是以搜集者和分析者所能见到和看到的为限。“简言之,你之所见就是你之所得,仅此而已。”美国兰德公司在其《定义国防事业第二代开源情报》报告中将第一代开源情报特征描述为依赖翻译专长，常需实体途径获得，定期的出版周期，聚焦于分析和分发。而传统的开源情报研究方法的特点，则主要是以经验判断，文本归纳等等为基础。

1.2 基于网络的开源情报调查方法

赵宁等在《大数据时代开源情报的知识危机与应对策略》中引用兰德公司《定义国防事业第二代开源情报》报告认为，第二代开源情报特征则是依赖技术专长，虚拟的获取途径，不停地获取，聚焦于开发和生产。第三代开源情报则即将到来，Web3.0——语义网的兴起，依赖及其学习和自动推理，广泛采用加密技术致使获取途径不畅，智能技术应用于情报全流程环节。在互联网时代,信息资源更加丰富,网络传播的信息超越了传统的新闻传媒范畴,已经覆盖到政治、经济、科技和军事等各个方面,从某种意义上来说,互联网创造了一个供其他各种情报手段获取信息的额外渠道。谢琪彬，石宇等在《人工智能融入美国情报体系的现状及发展困境分析》认为，总体来看,开源情报工作中人工智能的发展大致可分为3个阶段:第一阶段是作为数据整理和筛选的工具;第二阶段是人机协作,即在人工干预下的开源数据自动抓取和半智能分析机制;第三阶段是自主运行, 即人工智能基于海量历史数据反复训练算法,最终实现相对独立的自主精确搜集和分析。目前来说,美国开源情报工作中的人工智能主要发展方向仍然是人机协作,完全脱离人工干预的人工智能技术实现还非常困难,鉴于开源信息数据样式和内容的双重复杂性,利用技术增强人类认知能力仍然是开源情报工作的人工智能发展目标。随着开源情报在大数据时代的再度兴起，基于网络的开源情报调查方法逐渐进入人们视野，其有别于以往的基于广播、电视、报刊杂志等传统媒介的开源情报调查方法，具有成本低、获取易，效费比高等特点。本文以英国私营情报调查机构“摇铃猫”为例对其基于网络的开源情报方法进行评介。

1.3 “摇铃猫”总体评介

2014年7月，英国记者希金斯召集化学武器专家丹·卡泽塔(Dan Kaszeta)、彼得·朱克斯(Peter Jukes)以及克里斯·布雷斯(Chris Brace)组成核心团队，通过众筹方式获取启动资金，在英国创办了私营情报调查机构“摇铃猫”，并依托官方网站开展常态运营。通过梳理“摇铃猫”官网发布信息以及媒体对其报道的新闻资料，结合希金斯自传著作《我们是“摇铃猫”》的介绍，可以将“摇铃猫”的基本组成描述为：一个分工明确、专家云集的核心业务团队、一个依托互联网、保持高热度的信息发布平台和一个规模精干、结构多元的基金会。

“摇铃猫”目前的主要业务是非盈利性质的基于网络的开源情报调查，这是一种典型的以任务为导向、分布式团队合作的众筹模式。针对某一国际热点事件，“摇铃猫”核心团队会将所需调查的事件分解为多个众筹任务包，向所有成员发布需求，发动他们在全球网络众筹调查线索和素材。世界各地的“摇铃猫”成员响应之后，会使用各种手段从不同信息渠道搜集相关信息，按任务需求处理加工数据并上报。之后，核心团队的专家组会对汇集的数据进行归档、分析和核实，在团队内部分享所获得的数据，并组织相关领域的专家和志愿者检验证据、论证分析、得出观点，完成最终报告。作为一个新兴的开源情报调查机构，“摇铃猫”最主要的特色就在于它的研究方法，并且在实践中已经创造了巨大效益。

2 “摇铃猫”基于网络的开源情报调查主要研究方法

“摇铃猫”通过众筹模式挖掘线索，广泛获取互联网及社交媒体发布的卫星图像、社交媒体、在线数据库等开源信息，组织专家使用专门的地理精确定位、要素关联分析、反向图像查询等工具，从而获取关键的时间、地点、人物、目标和事件的细节证据，再由核心团队完成分析拼图，得出调查结论。为了更好地细化论述，笔者根据方法在实施时的侧重点，将其主要研究方法分为以下3种，而在实际使用中其实更多表现为综合运用。

2.1 众筹拼图法

众筹拼图法的实质是众筹模式与逻辑经验分析相结合的调查方法，其主要应用思路如下：首先，由“摇铃猫”核心团队将调查任务化整为零，定向发布素材众筹需求；其次，由外围专家各自认领任务，完成若干重要素材的加工处理后上报，交给核心团队做综合研判；最后，由核心团队专家组提出主导性假设，再通过整合比对或进行多源“拼图”，得出最终结论。其核心团队中不乏具有情报职业经历的分析专家，只要能够众筹获取关键的调查素材，他们便可以在综合解读素材基础上推断结论，所以，此种调查方法的关键在于是否可以通过众筹方式获取最低限度的关键证据“碎片”，然后合理地完成分析拼图。

例如，在对马航MH-17坠毁事件进行调查时，“摇铃猫”核心团队将调查任务分解为防空导弹型号、发射车藏匿地点等若干小任务，在网上发布素材众筹需求，试图在短时间内获取媒体报道之外的一手信息。大量外围专家响应众筹任务后，立即开展素材搜集、处理和验证工作，把大量通过Facebook、Twitter、YouTube视频、谷歌地图上发现的线索信息上报给核心团队，帮助其很快定位了事件发生的大致地点。核心团队进一步借助 “SunCalc”网站通过日照阴影来测算时间，以确定导弹发射车经过某地的具体时间是否与导弹发射时间相吻合。之后，“摇铃猫”核心团队在上述关键证据“碎片”支持下提出了关键假设，即马航MH-17航班可能是被亲俄武装力量击落的。为了验证这一假设，其核心团队继续发布下一轮众筹任务，整合多来源的其他证据，验证“拼图”的完整性和准确性，直到最终认定马航MH-17航班是被来自亲俄武装力量的俄制“山毛榉”防空导弹击落。在事件发生的第二天，“摇铃猫”就在其官网上公开了初步调查结论，后续发布的报告则详细梳理了导弹发射车运动的时间线和路线图，以及证明其隶属关系的细节证据。

2.2 “调查、核实、放大”方法(Identify、Verify、Amplify，IVA)

“调查、核实、放大”方法是一种由“摇铃猫”独创的专门分析方法，通过抓住并深挖关键线索，核实放大某些证据的细节，形成调查的突破口，以此从纵向上深化判断或者从横向上扩展论证。此方法主要的应用思路分为3步：第一，识别开源网络素材中被忽视的问题；第二，核实所有可以作为突破口的关键证据，但要避免当局者迷或者妄自猜测而误用证据；第三，利用前期突破深化或拓展判断，直至对事件建立完整的解释。需要注意的是，此方法的要义在于所谓的“调查、核实、放大”是一个不断依据已知信息突破未知情况的循环上升过程，必须充分深挖既有证据和初始假设的价值，以确保判断可以跃迁到更高的逻辑层级。

例如，在调查伊朗误击客机事件时，“摇铃猫”首先比对分析了大量网民上传的机翼碎片图片，着重识别机翼碎片上分布的多个黑点，初步判断这些黑点可能是防空导弹的杀伤碎片洞穿机翼造成的弹孔。其次，“摇铃猫”通过社交媒体征集坠机周边地域目击者的素材，得到了一张疑似在事发生现场附近沟渠中拍到的一个圆锥形机械部件的照片，其调查团队立即将这一关键线索作为突破口，将部件照片进行矢量放大处理，对其标识、材质、尺寸进行了细致分析，判断该部件非常符合伊军装备的俄制“道尔”M-1防空导弹的局部特征，从而印证了先前客机被防空导弹击落的假设。再次，调查团队进一步核实和放大证据，他们通过EXIF数据软件分析了照片的元数据信息，解析出照片拍摄地点的经纬度处于德黑兰机场周边，拍摄时间正好在客机坠落之后。此外，调查团队还仔细核查了社交媒体上出现的一段疑似导弹击落客机的视频，通过提取视频中的关键帧，放大观察其中出现的建筑物和街道，结合谷歌地图软件确认了拍摄者位于德黑兰机场附近帕兰地区的一个社区，而在这个社区的卫星照片中可以找到导弹部件坠落的那条沟渠。至此，基本可以确定失事客机是在德黑兰机场周边被伊军防空导弹击中坠毁。最后，调查团队使用可以提供航班实时飞行状况的软件“FlightRader24”绘制出了客机失事前的飞行轨迹和最后位置，最终形成了完整的调查报告。

2.3 关联分析法

关联分析方法是一种常见的开源情报分析方法，其主要应用思路是发挥分析专家的智慧和经验，巧妙地发现存在于大量素材证据之间的关联，从而描述特定事物某些属性同时出现时体现的规律，以由此及彼、连点成线的方式得出结论。“摇铃猫”具备拥有多名前职业情报分析专家和善于使用分析工具软件的双重优势，能够充分发挥这种研究方法的效能。

例如，在对前俄罗斯间谍斯克里帕尔中毒事件进行调查时，“摇铃猫”的工作重点是结合在线搜集的独家证据，关联分析由英国安全部门公开披露的信息。其调查团队认为，为了查证中毒事件中两名嫌疑人的真实身份，应该将他们的机票线索、护照线索、出行轨迹线索、学习工作经历线索等关联汇聚、相互印证，从而挖掘出最可能的指向性结论。首先，调查团队通过检索俄罗斯航班数据库，查出两名嫌疑人彼得罗夫和博希罗夫在购票平台检索后，不到3分钟便购买了从莫斯科至伦敦的往返航班机票，而往返机票的间隔时间仅在两天之内，似乎不像是自称的旅行。其次，调查团队通过中间人以100美元购买了俄罗斯黑市上名为彼得罗夫和博许罗夫的个人信息数据，从而拿到了两人护照的具体信息，发现两人的护照不仅是连号，而且号码与2014年波兰驱逐出境的俄间谍爱德华·施马科夫(Eduard Shishmakov)的护照编号高度相似。再次，调查团队对两人照片进行反向图片搜索，结果关联到社交媒体上披露的俄罗斯远东军事指挥学院(实为俄对外情报总局训练特工的院校)的相关图片，从中发现了一篇介绍学院校友阿纳托利·切皮加上校获得“俄联邦英雄奖”的报道，其中的切皮加上校与博许罗夫长得很像。最后，根据英国安全机构发布的信息，调查团队注意到两名嫌疑人到达伦敦机场后乘火车前往事发地索尔兹伯里小镇，但仅仅逗留了几个小时便匆匆返回，而街头摄像头拍摄的信息显示其运动轨迹与中毒者当时的活动范围有交集。经过综合关联上述调查证据，“摇铃猫”最终判断两名嫌疑人是执行特殊任务的俄方特工。

3 “摇铃猫”基于网络的开源情报调查研究方法的特点评析

作为民间私营情报调查公司，“摇铃猫”是当前西方开展开源情报调查活动的典型代表，其依托新兴开源网络，众筹开展独立调查，灵活运用先进技术工具进行分析“拼图”等特点值得我们认真总结研究。

a.深耕开源网络追踪国际热点事件，充分发挥私营机构机动灵活高效的优势，敢于以低成本博取高收益，但是其调查主题与结论指向也呈现出明显的亲美反俄色彩。

当前物理域、信息域、认知域高度交叉融合，“摇铃猫”充分利用社交媒体等新兴网络蓬勃发展带来的技术便利，使其能够在线上开展对热点事件的情报调查和报告发布，完成某些类似官方情报机构的任务。一方面，其反应速度快、投入成本低、调查效率高、组织实施灵活；另一方面，其没有固定的上级用户、没有日常工作压力和规章制度限制，甚至调查结果本身也无论成败，不用顾忌承担相关责任。因此，“摇铃猫”的开源情报调查活动目标非常明确，就是追踪调查热点争议事件，以小博大，获取广泛的关注度和影响力。然而，其立场站位和背后支持力量共同决定了其调查活动不可避免地以片面求深刻，通过解疑、揭秘等方式打压俄罗斯，维护美西方利益，在国际网络舆情领域竭力造势。

b.创新应用众筹模式主导调查流程，宣扬特定理念招募支持者，善于利用分布式社交网络汇聚人才，但是其支持者高度集中于特定群体势必影响其调查的客观独立性。

发达的全球信息网络使得人际交往可以轻松突破地域、时差、国籍、文化等传统时空限制或制度约束，促进了依靠大众获取支持的众筹模式快速兴起。“摇铃猫”创造性地将众筹手段移植到开源情报调查领域，打出所谓“人民的情报机构”的理念，招募成长于网络社交媒体的青年一代为其服务，充分调动了新生代民间情报力量的积极性与能动性，对于私营情报调查机构来说的确是一种扬长避短、事半功倍的模式。“摇铃猫”以其核心团队主导制定众筹任务规划，广泛动员去中心化、分布式的外围专家和志愿者同步并行搜集、处理、上报素材，以化整为零、集腋成裘的方式共同完成了许多复杂困难的调查任务，实现了网络平台、大众支持和专家团队的高效整合。但是，其在调查过程中，往往会逐渐筛选和保留认同其理念，赞同其主张的人员，从而导致响应其众筹任务的群体在立场观点、认知倾向方面逐渐趋同，难以避免陷入“集团思维”，势必会影响其调查的客观性和独立性。

c.广泛运用新技术新工具助益开源情报分析，不拘一格获取关键证据素材，长于连点成线完成“拼图”，但是因为存在先入之见导致其难免取舍证据自圆其说。

如今，先进的搜集、分析技术工具可以便捷地在网络上在线注册或者下载使用，民间机构只要拥有专业知识和相关专家，也能够以低成本获得原本只有官方情报机构才能拥有的手段。“摇铃猫”的成功正是顺应了大数据时代开源情报工作技术门槛降低的趋势，把握了军民(官民)融合迅速发展的机遇。其不仅在综合运用轨迹定位、网络爬虫、数据挖掘、态势监控等新技术新工具方面展示出了很高的专业水准，而且敢于通过黑市购买、暗网招募、目击者雇佣等特殊方式采集某些重要证据，从而保证其开源情报调查得以抓到关键线索并完成分析“拼图”，这也是其能够从众多智库、研究机构和私营情报公司中脱颖而出，独树一帜的优势所在。但是，由于其一贯持有亲美反俄的先入之见，同时为抢抓时效尽快得出结论，从而导致其调查过程中也不可避免存在取舍证据以自圆其说的做法。

4 结语

“摇铃猫”是大数据时代私营情报机构发展到新阶段的产物，也是民间开源情报工作再度兴起的证明。其创新运用众筹形式开展调查，第一时间撰写并在线发布专业分析报告，与网络媒体广泛合作扩大影响的模式值得我们重点关注，其善于综合运用新技术新工具，吸收前职业情报分析专家进行研究，灵活机动地开展效费比高的调查活动，这些做法也非常值得我们研究借鉴。而以“摇铃猫”为代表的基于网络的开源情报调查方法是情报工作者与时俱进的自我创新，符合时代的潮流，具有较高的应用价值，也体现了时代的变化。