微软威胁对安全研究员采取法律行动引发争议

一位安全研究员公开了一系列未修补的微软产品漏洞及利用代码后，该公司正威胁要采取法律行动并报警。微软的含蓄威胁重新点燃了关于安全研究员对大型科技巨头应负何种责任的长期争论。

事件经过

周三，微软发布博客文章，批评名为“Nightmare Eclipse”的研究员公开了一系列漏洞，包括BlueHammer、RedSun、UnDefend和YellowKey。这些漏洞影响了Windows内置杀毒引擎Defender和磁盘加密工具BitLocker等产品。

微软的核心不满在于，研究员未尝试报告漏洞以便公司修复，这被微软博客称为“负责任”的行为。公司的另一论点是，Nightmare Eclipse在漏洞修补前公开了漏洞细节和利用方法，可能帮助了恶意黑客。据微软和美国网络安全局CISA称，研究员披露的部分漏洞已被黑客用于真实攻击。

“我们的数字犯罪部门将继续对这些行为者及其犯罪活动提供便利的人采取行动——必要时与世界各地的执法部门协调，”微软写道。（微软数字犯罪部门的使命包括“民事法律行动、技术反制措施、刑事指控和公私合作伙伴关系”，其网站显示）。

在最近几周发布的一系列博客中，Nightmare Eclipse声称曾与微软联系，但公司 allegedly 不当对待他们，包括撤销其微软安全响应中心账户访问权限（研究员可通过该门户向科技巨头报告漏洞）。Nightmare Eclipse的言下之意是他们别无选择，只能公开漏洞，这意味着这些漏洞在当时成为零日漏洞——指软件制造商在披露或利用时未知的安全缺陷。

研究员在微软拥有的开源存储库GitHub和GitLab上发布了漏洞。他们在这些平台的账户已被封禁。

Nightmare Eclipse和微软未回应置评请求。

网络安全专家警告寒蝉效应

这场公开争执重新引发了长期且仍有争议的辩论：独立安全研究员是否有责任确保他们发现的漏洞得到修复？他们应如何确保其产品存在漏洞的公司真正修复这些漏洞？

辩论的一部分已完全解决并得到广泛认可：研究员应获得报酬。尽管这在今天听起来显而易见，但经历了2009年启动的“不再免费漏洞”运动多年的争取。近20年后，大多数大小公司都支付“漏洞赏金”财务奖励，目前可达六位数甚至更高，以奖励私下报告漏洞并在漏洞修复后协调发布细节的研究员。

针对Nightmare Eclipse的最新争议，无数研究员分享了向微软报告漏洞的糟糕经历。可以说，网络安全社区对微软处理此事的方式普遍不满。这包括网络安全资深人士，如Luta Security创始人Katie Moussouris，她在2000年代中期在微软工作时开创了漏洞赏金，并说服科技巨头通过将流程框定为“协调披露”，摆脱了“负责任披露”的概念。

“在我看来，使用‘负责任’披露一词是第一击，”Moussouris告诉TechCrunch，指的是微软的博客文章。“提及[数字犯罪部门]并威胁起诉是过度的，只会导致安全研究员不信任微软。”

Moussouris警告称，安全研究后果

关注微信号：智享开源 ，及时了解更新信息。

原文链接：https://techcrunch.com/2026/05/29/microsoft-under-fire-for-threatening-security-researcher-with-criminal-investigation/