北京
“我们无意追诉那些进行安全研究或公开发布其成果的个人。”2026年5月底,微软安全响应中心用一句精心推敲的声明,试图给持续升温的攻防对抗降一降温。
这份声明的背景,是安全社区内部一场已经炸开锅的争论。焦点人物是一个化名为 Nightmare Eclipse(又称 Chaotic Eclipse)的研究者。从2026年4月到5月中旬,此人先后公开了六个 Windows 零日漏洞的完整验证性攻击代码,手法直接,毫无缓冲余地。被点名的漏洞分别叫做 BlueHammer(CVE-2026-33825)、RedSun(CVE-2026-41091)、UnDefend(CVE-2026-45498)、YellowKey(CVE-2026-45585)、GreenPlasma 和 MiniPlasma,瞄准的全是 Windows 核心组件,包括微软自家的 Defender 杀毒软件和 BitLocker 磁盘加密功能。
这些漏洞不只是纸面上的安全问题。其中三个——BlueHammer、RedSun 和 UnDefend——很快就被武器化,落入了真实的攻击链中。美国网络安全与基础设施安全局随即将它们列入了已知被利用漏洞目录。事态的严重性已经不容回避。
微软最初的回应发生在那篇发布于5月28日的安全博客里。措辞颇为强硬:公司将“对那些行为者以及为其犯罪活动提供便利的人提起诉讼”。与此同时,微软还在社交平台 X 上阐述了自己的立场。这番表态立刻引发了安全专家的警觉。在他们看来,这种笼统的法律威慑用语,足以让整个白帽研究圈层感到寒心,甚至可能阻止下一批研究者走正常渠道提交漏洞。
争议的另一端,是 Nightmare Eclipse 本人的说法。据相关报道,该研究者声称微软此前对其通过官方渠道提交的漏洞置若罔闻,还“在背后捅了他们一刀”。此人在公开发布中预告,将在7月14日针对微软当月补丁星期二放出“碎骨级”的后续攻击代码。随后,微软数字犯罪部门采取行动,禁用了 Nightmare Eclipse 在 GitHub、GitLab 和 MSRC 研究者门户上的账户。
于是,微软不得不在后期声明中画出一道更清晰的分界线。一边是善意的安全研究,另一边是恶意犯罪活动。公司的表述很明确:只有当个人触犯法律,从事恶意行为并对客户造成实质伤害时,法律手段才会被启动。这话的潜台词是,合法的漏洞研究和成果发布,并不在追责范围之内。
微软同时承认了自身在协调沟通上的短板。声明中坦承,安全响应中心与研究者过去的某些互动“有所欠缺”,并承诺在每一次披露对接中重建“透明度、清晰沟通和专业精神”。公司还提到了一个现实压力:他们收到的漏洞报告数量庞大且复杂度日益攀升,这本身就给处理流程带来了重负。
事实上,围绕这次事件的博弈,折射出的是一场关于漏洞披露话语权的旧矛盾。研究者要速度,要认可,要修复承诺。厂商要时间,要流程,要可控的发布窗口。当其中一方认为另一方没有履行默契,那条通过官方渠道协调披露的纽带就会断裂。而断裂之后飞溅出的碎片——那些被公开利用的零日漏洞——最终砸中的,是那些依赖 BitLocker 和 Defender 来保护数据的普通客户。这份冷静的声明或许能缓解法律层面的对峙,但它所试图修复的信任关系,远比一份声明里的措辞要脆弱得多。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
