微软威胁安全研究员引争议

一名安全研究员在公开一系列未修复的漏洞及其利用代码后，微软如今正威胁对其采取法律行动并报警。微软的隐晦威胁重新点燃了关于安全研究员对影响大型科技公司漏洞披露责任的长期争论。

微软指控研究员行为不当

周三，微软发布了一篇博客文章，批评名为“Nightmare Eclipse”的研究员公开了一系列漏洞，包括BlueHammer、RedSun、UnDefend和YellowKey。这些漏洞影响了Windows内置的防病毒引擎Defender和磁盘加密工具BitLocker等产品。

微软的核心投诉是研究员未尝试报告漏洞以便公司修复，这被其博客称为“负责任”的行为。公司的另一论点是，Nightmare Eclipse在漏洞修补前公开了漏洞细节和利用方法，可能帮助了恶意黑客。根据微软和美国网络安全 agency CISA的说法，研究员披露的部分漏洞已被黑客用于现实世界攻击。

“我们的数字犯罪部门将继续对这些行为者及其犯罪活动提供者提起诉讼——必要时与世界各地的执法部门协调，”微软写道。微软的数字犯罪部门旨在通过“民事诉讼、技术反制措施、刑事指控和公私合作伙伴关系”等不同策略保护公司。

研究员声称遭微软忽视

在最近几周发布的一系列博客中（未提供太多具体细节），Nightmare Eclipse声称曾与微软联系，但公司 allegedly 虐待了他们，包括撤销其微软安全响应中心账户的访问权限，该门户是研究人员向科技巨头报告漏洞的地方。Nightmare Eclipse的暗示是他们别无选择，只能公开漏洞，这本质上意味着在那一刻它们是零日漏洞，即软件制造商在披露或利用时未知的安全缺陷。

研究员在开源存储库GitHub（微软拥有）和GitLab上发布了漏洞。这些平台上的研究员账户已被禁止。

Nightmare Eclipse和微软均未回应置评请求。

网络安全专家警告寒蝉效应

这场公开争执重新引发了长期存在且仍有争议的辩论：独立安全研究员是否有责任确保他们发现的漏洞得到修复？他们应该在多大程度上确保其产品存在漏洞的公司真正修复它们？

辩论的一部分已完全解决并得到广泛认可：研究员应因其工作获得报酬。虽然如今听起来显而易见，但这经过了多年的斗争，部分体现在2009年发起的“No More Free Bugs”运动中。近20年后，几乎所有大小公司都向私下披露漏洞并协调在漏洞修复后公布细节的研究员支付“漏洞赏金”财务奖励，如今金额可高达六位数甚至更高。

针对Nightmare Eclipse的最新争议，无数研究人员分享了向微软报告漏洞的糟糕经历。可以说，网络安全社区对微软处理此事的方式大声表达了不满。这包括网络安全资深人士，如Luta Security创始人Katie Moussouris，她在2000年代中期在微软工作时开创了漏洞赏金，并说服这家科技巨头通过将过程描述为“协调漏洞披露”来放弃“负责任披露”的概念。

“在我的书中，提及‘负责任’披露是第一击，”Moussouris告诉TechCrunch，指的是微软的博客文章。“增加通过提及数字犯罪部门进行起诉的威胁是过度的，只会导致安全研究员不信任微软。”

关注微信号：智享开源 ，及时了解更新信息。

原文链接：https://techcrunch.com/2026/05/29/microsoft-under-fire-for-threatening-security-researcher-with-criminal-investigation/