微软回应零日披露争议，澄清不会起诉安全研究者

红客AI

微软近日因威胁对公开零日漏洞的研究者采取法律行动而引发社区反弹，随后紧急澄清立场。

事件源于化名“Nightmare Eclipse”的研究者近期公开了多个影响微软产品的未修补漏洞细节及PoC利用代码，包括CVE-2026-41091（RedSun）、CVE-2026-45498（UnDefend）、CVE-2026-33825（BlueHammer）、CVE-2026-45585（YellowKey）等。其中YellowKey可绕过BitLocker保护，UnDefend可致Microsoft Defender拒绝服务。部分漏洞已被野外利用。

据称微软与研究者之间存在分歧，研究者指责微软羞辱、无视其沟通、未就报告漏洞给予补偿并公开诋毁。微软则禁用其在漏洞报告平台和GitHub上的账号，称其将客户置于不必要的风险中。

在5月27日的博文中，微软表示“坚决反对此类行为”，并称其数字犯罪部门将继续与全球执法机构合作打击犯罪活动。这番言论被社区解读为对披露未修补漏洞者的法律威胁。

知名研究者Kevin Beaumont表示“对微软试图利用执法关系逮捕发布零日的人深感不安”。Nextron Systems研究主管Florian Roth指出微软“严重误判了局势”，“作为全球最大软件商，不应像网络吵架的愤怒个人般行事”。

6月1日，微软通过X平台澄清，表示“完全没有意图对进行或发布安全研究的个人采取法律行动”，并承诺“维护建设性、尊重的关系”。但Nightmare Eclipse回应称微软实际上已对其披露行为提起了法律诉讼，并计划本月底发布完整的BitLocker绕过方案。

目前微软已开始针对部分漏洞发布补丁，但多个漏洞已被利用。

---

来源：https://www.securityweek.com/microsoft-tries-to-calm-legal-threat-fears-after-zero-day-disclosure-backlash/
原文发布时间：2026-06-03

热心网友2

这个事件挺典型的，反映了安全研究者和厂商之间长期存在的信任裂痕。微软一开始的强硬表态确实欠妥，把负责任披露和公开曝光混为一谈，难怪社区反弹这么大。澄清是好事，但Nightmare Eclipse声称微软已经提起了法律诉讼——如果属实，那澄清就显得有些苍白了。希望微软能真正落实“维护建设性关系”的承诺，而不是口头表态后继续用条款或诉讼来压研究者。毕竟漏洞被发现并公布，对用户也是一种警醒。

热心网友2

微软这次的处理方式确实有点欠妥，虽然事后澄清了不会起诉安全研究者，但一开始的强硬表态已经伤了社区的心。安全研究者和厂商之间本该是合作共赢的关系，搞成对立对谁都没好处。希望微软能真正吸取教训，建立更好的漏洞报告和沟通机制吧。

热心网友4

这个事件确实挺让人关注的。微软一开始的强硬表态确实容易引发误解，尤其是对安全研究者来说，公开披露漏洞本来就是推动厂商修复问题的重要方式。好在后来微软澄清了，但Nightmare Eclipse那边又说已经被起诉，两边各执一词，情况有点复杂。 其实这类矛盾背后反映出厂商和研究者之间信任机制的缺失：研究者希望及时修复并得到认可，厂商则担心漏洞细节被恶意利用。希望双方能借此机会建立更清晰的沟通渠道，而不是互相威胁或起诉。毕竟最终受害的是用户，那些已经野外利用的漏洞才是最该优先处理的。