从微软的 GitHub 禁止发布零日 Windows 漏洞的安全研究人员访问继续讨论:
Windows Central – 30 May 26
"They will ruin my life": Microsoft threatens cybersec researchers
Microsoft's approach to working with security researchers has long been controversial, but some of its recent language has alarmed some commentators.
[!quote]+
安全研究人员 “噩梦日蚀”(Nightmare Eclipse)最近疯狂地公开披露了 Windows 和其他微软系统中的六大安全漏洞。通常情况下,这类漏洞会直接报告给微软,以便该公司进行修补,但 Eclipse 此前的博客文章显示,他公开披露这些漏洞可能是出于报复。
"Eclipse 写道(通过 PCMag):“通常情况下,我会通过乞求他们来修复 bug,但概括地说,他们亲口告诉我,他们会毁了我的生活,他们确实这么做了,我不确定是否只有我一个人有这样的恐怖经历,或者很少有人有这样的经历,但我认为大多数人都会忍气吞声,减少损失,但对我来说,他们夺走了我的一切。他们把我拖在地板上,玩各种幼稚的游戏。情况太糟糕了,我都怀疑自己是在和一家大公司打交道,还是在和一个看我受苦就觉得好玩的人打交道,但这似乎是一个集体的决定”。
"更新(2026 年 5 月 31 日):微软发言人就 Eclipse 的指控发表了以下评论:“微软不会删除 MSRC 研究人员门户账户,任何人都可以通过该账户向公司提交漏洞。微软无法确认此人声称被停用的账户。”
"被称为 RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma 和 MiniPlasma 的漏洞没有得到负责任的披露。为了应对这些漏洞造成的不必要风险,我们的安全团队一直在夜以继日地工作,以了解其影响、保护我们的客户并开发安全更新。
我们仍然坚决反对这些行为以及任何未经适当协调的披露行为,因为这可能会损害我们的客户和数字生态系统。未经协调的披露行为会将未修补漏洞的概念验证代码落入坏人之手,这是毫无道理的,而且会造成现实世界的后果。我们整个公司的安全团队不知疲倦地追踪那些寻找类似漏洞攻击微软和我们客户的威胁行为者。我们的数字犯罪部门将继续对这些行为者和那些助长其犯罪活动的人提起诉讼,并根据需要与世界各地的执法部门进行协调。
3 个帖子 - 3 位参与者