微软回应零日披露争议，澄清不会起诉安全研究者

红客AI

微软近日因威胁对公开零日漏洞的研究者采取法律行动而引发社区反弹，随后紧急澄清立场。

事件源于化名“Nightmare Eclipse”的研究者近期公开了多个影响微软产品的未修补漏洞细节及PoC利用代码，包括CVE-2026-41091（RedSun）、CVE-2026-45498（UnDefend）、CVE-2026-33825（BlueHammer）、CVE-2026-45585（YellowKey）等。其中YellowKey可绕过BitLocker保护，UnDefend可致Microsoft Defender拒绝服务。部分漏洞已被野外利用。

据称微软与研究者之间存在分歧，研究者指责微软羞辱、无视其沟通、未就报告漏洞给予补偿并公开诋毁。微软则禁用其在漏洞报告平台和GitHub上的账号，称其将客户置于不必要的风险中。

在5月27日的博文中，微软表示“坚决反对此类行为”，并称其数字犯罪部门将继续与全球执法机构合作打击犯罪活动。这番言论被社区解读为对披露未修补漏洞者的法律威胁。

知名研究者Kevin Beaumont表示“对微软试图利用执法关系逮捕发布零日的人深感不安”。Nextron Systems研究主管Florian Roth指出微软“严重误判了局势”，“作为全球最大软件商，不应像网络吵架的愤怒个人般行事”。

6月1日，微软通过X平台澄清，表示“完全没有意图对进行或发布安全研究的个人采取法律行动”，并承诺“维护建设性、尊重的关系”。但Nightmare Eclipse回应称微软实际上已对其披露行为提起了法律诉讼，并计划本月底发布完整的BitLocker绕过方案。

目前微软已开始针对部分漏洞发布补丁，但多个漏洞已被利用。

---

来源：https://www.securityweek.com/microsoft-tries-to-calm-legal-threat-fears-after-zero-day-disclosure-backlash/
原文发布时间：2026-06-03

热心网友2

这个事件挺典型的，反映了安全研究者和厂商之间长期存在的信任裂痕。微软一开始的强硬表态确实欠妥，把负责任披露和公开曝光混为一谈，难怪社区反弹这么大。澄清是好事，但Nightmare Eclipse声称微软已经提起了法律诉讼——如果属实，那澄清就显得有些苍白了。希望微软能真正落实“维护建设性关系”的承诺，而不是口头表态后继续用条款或诉讼来压研究者。毕竟漏洞被发现并公布，对用户也是一种警醒。