文/王新喜
最近汤家凤教授在针对印度人入华务工一事上,连续发声,引发不少网友的共鸣,他还指出,印度除了所谓的信息技术、软件方面的人才,绝大部分我们需要引进他们什么人才?
简言之,汤教授认为印度信息技术与软件方面的人才还是值得引进的,这话随口一说,引发了一些讨论。
有网友说,印度所谓的软件人才在AI的冲击下已经不值一提了,在AI冲击下,印度软件人才就不是技术人才了。
该网友说到了当今印度IT外包从业者的一个危机。印度IT外包产业总规模接近3000亿美元,是印度为数不多能在全球市场赚钱的核心产业,整个行业吸纳超过600万从业人员。
无数印度家庭,倾尽所有供孩子读计算机专业,只为能进入塔塔咨询、印孚瑟斯这些头部IT企业实现阶层跃升。
但如今,ChatGPT、GitHub Copilot、AI代码助手已成熟落地,原本需要三五名印度程序员协作数天的基础开发、代码调试、简单系统搭建工作,现在一名普通从业者借助AI,几小时就能完成。
正因如此,印度可能存在大量的人才溢出效应,很多从业者要去全球各地寻找机会,那么中国或是印度IT从业者要进入的市场之一。
在这种情况下,一个高赞的观点是,中国引进印度籍软件工程师比中国采用美国芯片对国家安全的危害更大。如果那些印度软件工程师在编程中留下后门,对国家安全的危害可想而知。
不少网友表示认同,软件工作和普通工作不一样,全程接触的都是核心数据、系统程序。如果聘用的印度籍软件工程师在编写程序的时候悄悄留下系统后门,风险真的很高。
很多人谈到伊朗的教训:伊朗曾经把大量软件项目外包给印度团队,最后系统被轻易渗透,安全防线彻底失守。
我们有必要引入印度软件工程师吗?
根据国家移民管理局及驻外使领馆的公开统计,目前持有合法居留许可、在华长期居住的印度籍人员总共约8.9万人。这8.9万人里,占比最高的是留学生,约3.4万人。
其次是外贸采购商,约4.5万人,真正拿到合法工作签证、从事技术类岗位的,总数不足1万人。
这不足1万人的持证务工群体里,软件岗只占10%到15%,也就一千多人的规模,分散在深圳、上海、广州等地的外资企业、出海业务部门和部分中小科技公司。
如果计算全国所有持Z工签、长期全职印度软件工程师,大致是6千到1万人,主要分布在外企中国研发中心技术岗。
中国既没有出台过引进印度软件工程师的政策,也不存在大规模引入的现实情况。目前在华的印度籍技术人员,规模小、分布散,远没到能影响行业、威胁国家安全的程度。
不过,中国软件行业还真有不少的人才缺口。
工信部早年就公开提到过,国内软件人才整体缺口达数百万,不过不是缺写代码的人,是缺高端架构师、懂行业的复合型人才、以及AI、量子计算等前沿领域的顶尖专家。
印度软件工程师的优势,不是顶尖技术能力,而是标准化外包能力:英语流利,熟悉欧美项目流程,能低成本承接测试、运维、基础业务开发等非核心环节。
印度真正的顶尖技术人才,几乎全流向了美国硅谷。
中国缺顶尖软件人才,我们每年计算机相关专业毕业生几十万,技术能力、项目经验完全能覆盖绝大多数开发场景,印度外包型工程师,我们并不缺。
因此,印度IT外包从业者大规模进入中国的可能性是很小的。
代码风险可控,但安全问题没小事
不过,安全问题无小事,我们需要思考引入印度软件工程师有没有安全后门风险。
放到中国的管理模式的软件工程,不是“一个人写完一整套系统”的作坊模式了。而是从需求评审、架构设计到代码编写、测试上线,有完整的流程管控。
代码提交后必须经过同事交叉评审,有自动化工具扫描漏洞和恶意代码,有专门的安全团队做渗透测试,核心模块的权限更是层层拆分,一个开发人员能接触到的代码范围非常有限。
你在这种体系里留一个能长期潜伏、不被发现的后门,不是完全做不到,是成本极高,靠单个工程师几乎不可能完成,必须是整个团队、整个流程都出现系统性漏洞才行。
而真正涉及国家安全的关键信息基础设施——政务系统、能源调度、金融清算、国防相关的软件,本身就有严格的准入红线,别说外籍工程师,就连普通外包公司都碰不到核心代码。
国内的等保2.0、关键信息基础设施保护条例,早就把这道闸门焊死了,核心领域的代码自主可控是底线,不存在“让外籍工程师参与核心研发”的可能。
当然,客观来看,网友的担心并不是空穴来风。
首先是,印度外包行业黑历史是不少的。
2023年,一名参与摩根大通项目的印度工程师,偷偷把超过200万条欧美客户的银行账户信息倒卖给了地下黑产。
2024年,塔塔咨询承接的欧洲某电信运营商用户系统项目,被查出后台预留了三个未备案的超级管理员权限,账号登录IP全部指向印度本土。
更值得警惕的,2022年斯里兰卡把全国公民身份证系统整体外包给印度公司开发,系统上线两年后被第三方审计发现:系统后台有一条隐藏的数据同步通道,会不定期把全量公民数据静默同步到印度的服务器。
印度公司给出的解释是“云端备份需求”,但斯里兰卡官方事前完全不知情。
说白了,软件后门最可怕的地方,是它的隐蔽性。
不同于硬件芯片能拆、能逆向分析,一段高水平的恶意代码,可以藏在几十万行正常代码里伪装成常规的功能逻辑,也可设置只有特定条件才触发的开关,就算是专业的安全团队,也未必能第一时间发现。
印度有其特殊性,我们要分级管控,减少对外部人才的依赖
而且印度的特殊性在于,印度2021年修订的《信息技术法》里明确规定:印度政府有权在“涉及国家安全”的名义下,要求任何本国注册的科技公司、外包企业提供系统访问权限、用户数据和源代码,企业不得拒绝。
换句话说,哪怕工程师本人没有任何恶意,只要其政府下达指令,企业和个人没反抗的余地。
而且印度和以美国为首的五眼联盟,在网络情报领域的合作是完全公开的,这意味着数据和权限一旦流出,流向哪里,不是企业或者个人能决定的。
加上印度外包行业的安全管控水平参差不齐,印度员工不满公司待遇植入“自毁代码”、内部人员倒卖数据的案例也不在少数。
因此,引进印度工程师比美国芯片危害还大的说法确实夸张,但背后的安全警惕绝对没错。毕竟,明枪易躲,暗箭难防,后者反而更考验我们的精细化管理能力。
当然,重视风险,绝不是搞“一刀切”排斥所有外籍人员,而是分级分类的管控体系:
核心领域、坚持自主可控,严格限制外部人员接触,代码全量审计,权限最小化。
商业领域、非核心业务,尊重企业的市场化选择,同时通过行业规范、安全合规要求,倒逼企业做好人员权限管理和代码安全审查。
再往上有《网络安全法》《数据安全法》等搭建的法律框架,有等保、关基保护的制度约束,一层层筛下来,真正能触碰到国家安全红线的风险,其实已经被过滤得差不多了。
当然,归根结底还是要靠自己的人才队伍。我们缺的从来不是写基础代码的人,而是能主导核心架构、能把控开源生态、能扛住高端研发的顶尖人才。把自己的人才梯队建强了,从根上减少对外部人员、外部技术的依赖,才是最彻底、最靠谱的安全。
清理HTML代码
