这不是假设的威胁场景，而是已经发生的事情。

2026年5月28日，路透社独家披露了一封来自美国中央司令部（CENTCOM）的内部信件。信件明确承认：美军已收到"多份威胁报告"，证实对手正在利用商业位置数据，对战区内的美国军事人员实施跟踪和打击。这是五角大楼首次官方承认，商业数据经纪人市场正在被用来"猎杀"美国军人。

问题的核心令人不安：攻击者不需要入侵任何军事系统，只需要刷一张信用卡，在公开的商业数据市场上购买数据，就能知道美国士兵在哪里、什么时候去哪里、他们的日常行动规律。

这些数据来自智能手机里那些看起来无害的应用程序，天气应用、导航软件、社交媒体，每一个请求定位权限的弹窗背后，都可能有一条数据流向某个数据经纪公司，再从那里流向任何愿意付钱的买家，包括外国情报机构。

警告被忽视了将近十年

这份信件揭露的不只是一个新问题，它揭示的是一个被系统性忽视的旧问题。

2016年，一位政府技术顾问在北卡罗来纳州布拉格堡向美国联合特种作战司令部的高级军官做简报，当场演示了如何用商业购买的位置数据，追踪一批手机从布拉格堡出发，经土耳其进入叙利亚北部，最终汇聚于一处秘密前进作战基地。整个追踪过程无需任何黑客技术，只需要钱，而且不多。这份数据，同样可以卖给任何广告商，也可以卖给任何外国情报机构。

警告发出了，但行动没有跟上。

2023年，美国陆军资助杜克大学的研究人员，模拟外国对手的采购行为，系统性地测试了商业数据市场对美军人员数据的开放程度。结果令人触目惊心：研究人员在数百个数据经纪网站上找到了数千条专门针对军人的数据列表，标题包括"军人家庭邮寄名单"和"核心军事家庭"等。他们以每条记录最低12美分的价格，购买到了现役军人的姓名、家庭住址、健康状况和财务信息。当他们以一家注册在新加坡的空壳公司名义下单，购买锁定布拉格堡、匡提科等军事基地周边的地理围栏数据时，卖家毫不犹豫地提供了，其中一家甚至主动提出，只要用电汇付款就可以跳过身份核验。

2024年，《连线》杂志进一步发现，同类数据正在通过谷歌自己的广告平台Display & Video 360流通，其中包括专门标记"在国家安全领域担任决策者"的美国政府雇员，以及就职于持有导弹、航天发射载具和加密系统相关许可证企业的人员名单。整条数据链条，从消费者手机延伸到了全球广告交易市场，再延伸到任何想要的人手中。

数据经济的副产品，正在变成战场上的武器

这份五角大楼信件之所以重要，不仅因为它是首次官方确认，更因为它将一个长期被视为"隐私问题"的议题，明确升级为了"作战安全问题"。

一封联名信随即浮出水面，由两党议员联署，敦促国防部采取行动，援引商业广告技术生态系统（adtech）对军事人员造成的威胁，要求五角大楼对士兵手机的数据共享权限实施更严格的管控。信中明确指出："商业位置数据可以用来识别美军士兵聚集的地点和他们的行动规律，这些信息可以被对手加以利用。"

问题的结构性根源在于，美国的商业数据经纪行业至今缺乏有效的联邦监管框架。国会多次尝试推进综合性隐私立法，均告搁浅。唯一落地的窄口修补措施，是要求军事承包商不得转售获得的数据，但这对整个更广泛的数据市场毫无约束力。

与此同时，五角大楼自身也是这个市场的买家。美国国防情报局2021年向国会披露，它在未经司法令的情况下购买并使用商业手机位置数据，包括美国公民的数据，并认为这在法律上无需授权。一个部门在购买同类数据，另一个部门的士兵正在被同类数据追踪，这个矛盾在内部存在了多年，直到战场上出现了伤亡报告，才以一封五角大楼信件的形式浮出水面。

每一个打开手机的士兵，都可能在不知情的情况下，成为战场上最精准的信标。