勒索谈判员认罪：当“帮你压价的人”靠抬价分成，问题就不只是内鬼

美国司法部这次披露的重点，不是黑客又攻下了谁，而是站在受害企业一侧、负责谈判的人认了罪。前网络安全公司 DigitalMint 的勒索谈判员 Angelo Martino 承认，在至少五起事件中，一边代表受害者与勒索团伙周旋，一边把保险额度和谈判策略泄给 ALPHV/BlackCat，帮对方把赎金抬高，自己再分一份。

这事最刺眼的地方，不是“出了个坏员工”这么简单。它直接戳中勒索软件应急行业最难看的激励问题：嘴上说帮客户止血，手上却可能靠出血量挣钱。天下熙熙，皆为利来。放到这里，问题就在激励设计。

发生了什么：Martino 认罪，至少五起事件受影响

已知事实很清楚。Martino 是 DigitalMint 前员工，已就相关指控认罪，面临最高 20 年刑期。司法部门还称，已扣押 1000 万美元资产。

检方的说法是，Martino 在 2023 年约六个月时间里，向 ALPHV/BlackCat 泄露受害者的保险上限和谈判策略，帮助对方更精准地抬高赎金。他的目标也不复杂：从更高的勒索款里拿分成。

这案子不只牵出他一人。司法部还点到另外两名卷入同类操作的人：DigitalMint 前员工 Kevin Tyler Martin，以及 Sygnia 前经理 Ryan Clifford Goldberg。检方称，三人一度实际上充当了 ALPHV/BlackCat 的 affiliate，并参与对美国境内多名受害者部署勒索软件。仅一名受害者，就给他们带来超过 120 万美元收入。

这里边界也要写清。现有信息只到前员工认罪。DigitalMint 的公开回应是，公司事先并不知情，得知指控后已解雇相关人员。现阶段没有证据能把公司直接写成共谋者。

为什么重要：受害企业、保险方、事件响应行业一起受伤

这类案件真正伤的，是信任基础。

对受害企业来说，最糟的不是谈判失败，而是谈判从一开始就不干净。企业找外部谈判员，本来是为了少赔一点、快恢复一点。结果如果对方把保单上限和策略卖给黑客，那谈判就不再是博弈，而是拿着你底牌替别人报价。

对网络保险方来说，这同样难看。保险额度原本是兜底工具。一旦被勒索团伙提前知道，它就会从风险缓冲垫，变成赎金锚点。你保得越高，对方抬价越准。

对事件响应和谈判行业来说，后果更长尾。这个行业本来就建立在高度不透明的紧急决策上：企业系统被锁、业务中断、法务和管理层承压，很多决定要在短时间内做。此时客户愿意把底牌交给谈判员，靠的是信任。一旦“帮你谈的人也在另一边拿钱”变成真实案例，整个行业都会被连带质疑。

但也别顺手把帽子扣到整个网络安全行业头上。现有事实支撑的是：勒索谈判和事件响应链条里，存在很重的激励冲突和信任风险。它不等于所有安全公司都与黑客勾连。证据到哪，判断就到哪。

更该盯什么：不是公关表态，而是怎么拆掉这套激励

我不太买账的，是把这事写成单纯的人品翻车。过去一年里，已经牵出三名谈判相关从业者卷入同类 scheme。这更像一个结构问题：当“赎金谈判”被做成稳定服务，灰色寄生层迟早会长出来。

原因并不玄。谈判员掌握两边最值钱的信息：受害者能承受多少，黑客想拿多少。只要收费、分成或内部考核和“把交易做成”绑定，诱惑就摆在那儿。亚当·斯密讲自利，不是替人开脱，而是在提醒制度设计别装天真。

这也不是今天才有的逻辑。铁路时代有人倒卖运力，平台时代有人卖流量，都是同一套旧剧本：信息不对称遇上结果分成，腐烂会比自律快。不完全一样，但骨架很像。

对企业 IT 负责人、CISO 和采购团队来说，眼下更实际的动作不是听供应商说自己“零容忍”，而是把几件事问死：

• 谈判团队是否与支付、结算或佣金安排隔离
• 是否限制谈判员接触完整保单上限
• 收费是否与支付金额脱钩，而不是按成交结果变相分成
• 是否有完整审计日志，能回溯谁看过保单、谁改过报价、谁与对方接触过
• 紧急事件里，法务、保险经纪和外部响应方的权限是否分开

这会直接影响采购和续约。部分企业会延后签约，要求补充审计条款和信息隔离条款；也会有安全负责人把“能不能谈”往后放，先审“谁来谈、按什么机制谈”。这不是形式主义，是在补一个已经被证明会漏血的洞。

另一个现实约束也得承认：很多企业遭遇勒索时，还是会考虑谈判。业务停摆、恢复成本高、外泄风险大，管理层不可能只靠道德表态做决定。问题不在谈不谈，而在谈判服务还能不能继续维持现在这种黑箱结构。

ALPHV/BlackCat 在 2023 年遭到多国执法打击，泄密站一度被端，还放出过帮助 500 多名受害者恢复系统的解密工具。但这起认罪案说明，打掉一个团伙节点，不等于这门生意的激励就消失了。黑客品牌会散，买卖底牌的冲动不会自己散。