当前位置: 首页
业界动态
白帽黑客曝光Windows零日漏洞 微软强硬回应引争议

白帽黑客曝光Windows零日漏洞 微软强硬回应引争议

热心网友 时间:2026-05-31
转载

事情是这样的。Windows,作为全球用户量最庞大的操作系统,连同微软旗下的云服务平台Azure,长期以来始终是黑客攻击与漏洞利用的重灾区。按常理,微软理应对这些安全风险保持高度警惕,但实际投入与重视程度却远未达标。

白帽黑客公开 Windows 零日漏洞,微软强硬回应引争议

微软长期与各类安全研究员(业内常称白帽黑客)维持合作,这套机制本已相当成熟:研究员负责发现漏洞,微软负责修补漏洞,并支付相应奖金作为回报。然而近期,一位代号“梦魇日蚀(Nightmare Eclipse)”的安全研究员,接连公开曝光了Windows及微软其他系统的六个高危安全漏洞。按照行业惯例,这类零日漏洞本应直接提交给微软,而非公之于众、增加风险。但根据其此前发布的博客内容,这次公开披露更像是在无奈之下的反击之举。

“以往我会按流程一遍遍催促他们修复漏洞,”他在接受《PCMag》采访时写道,“简单来说,微软方面曾亲口扬言要毁掉我的生活,而他们也确实这么做了。我不知道是不是只有我经历了这般糟糕的遭遇。我想大多数人都会选择忍气吞声,但他们夺走了我的一切。他们百般刁难,使出各种幼稚的手段针对我。那段日子实在难熬,我甚至分不清自己面对的究竟是一家大型企业,还是一群以折磨他人为乐的人。但显然,这是微软内部集体做出的决定。”

这背后折射出一个更深层的矛盾:微软与美国军方存在合作,按理说应当高度重视网络安全。过去几年,Azure 接连曝出数起影响恶劣的黑客入侵事件,让微软首席执行官萨提亚·纳德拉颜面尽失。维系与善意白帽黑客的良好合作关系,本应是保护微软用户安全的核心举措。但如今,随着AI驱动的网络攻击日益频繁,微软对黑客及公开漏洞的人员态度反而愈发强硬。

针对“梦魇日蚀”的爆料,微软正式回应:

此次被曝光的六大漏洞——赤日、无御、蓝锤、黄钥、绿等离子、迷你等离子,均未按照规范流程进行负责任的披露。这些公开行为带来了不必要的安全风险,为此我们的安全团队已全天候开展工作,评估漏洞影响、保护用户安全并研发安全补丁。我们坚决反对此类行为。任何脱离正规协作流程、可能损害用户及整个网络生态的漏洞公开行为,都不为我们所接受。未经协调就将未修复漏洞的概念验证代码泄露给不法分子,无论如何都站不住脚,还会引发一系列现实危害。微软全体安全团队始终全力追踪企图利用这类漏洞攻击微软产品及用户的威胁势力。公司数字犯罪部门也会持续对相关人员及协助其开展非法活动的主体提起诉讼,并按需与全球各地执法部门展开协作。

这份声明一出,立刻激怒了众多安全研究员。因为它措辞严厉,隐约暗示:哪怕只是单纯公开漏洞,相关人员也会遭到追责。比如,前微软高级安全分析师凯文·博蒙特在资讯网站 DoublePulsar.com 上直言:“如果微软打算将不遵守其时常主观随意的‘负责任披露’规则的行为定性为犯罪,那他们在法庭上恐怕很难站稳脚跟。”

从法律层面看,美国宪法的言论自由条款会为“梦魇日蚀”的公开披露行为提供保护。但根据漏洞的获取方式,他也有可能违反《计算机欺诈与滥用法》。而博蒙特在《The Verge》的报道中,更是直指微软在这件事上尽显虚伪。

等等,现在制作、传播零日漏洞的概念验证利用程序也成了‘犯罪活动’?微软企业法律事务部到底是谁批准的这种表述?要知道,微软旗下的 GitHub 才是全球最大的零日漏洞传播平台。不遵守一套人为制定的‘负责任披露’流程,本身并不违法。除此之外,‘梦魇日蚀’的 GitHub 账号(归属微软)、微软合作平台 GitLab 账号均被封禁,他还在社交平台遭到人肉搜索,微软漏洞报告中心(MSRC)的账号也被停用。一个人被全面封杀后,又该如何继续‘按规范’上报后续漏洞?

更尴尬的是,博蒙特在同一篇文章中还提到,微软此前曾聘用过多名有公开记录、向俄罗斯、伊朗等敌对国家出售漏洞的安全研究员。“多年来,微软明知部分在职员工曾公开表示会向俄、伊等国售卖漏洞,却依旧留用。该公司向来有聘用这类人员的先例,其中甚至包括有黑客犯罪前科、以及公开泄露零日漏洞的人。”

微软体量庞大、业务遍布全球,自然难免成为个人黑客乃至国家级黑客势力的攻击目标。同时作为全球市值最高的企业之一,微软迫于华尔街压力,一心追求亮眼的财报,有时便会在安全环节偷工减料。软件出现漏洞本在所难免,但步入人工智能时代后,微软遭受网络攻击的频率还会呈指数级增长。当下这般刻意与安全研究员对立的做法,实在算不上明智。

就像博蒙特在文末所言:“倘若微软执意要将不遵从其主观制定的‘负责任披露’规则的行为入罪,这场官司他们很难打赢。因为微软过往一系列决策和背后的诸多事实,都会在庭审中被一一揭开。”

来源:https://www.ithome.com/0/957/697.htm

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
苹果人工智能服务器芯片Baltra或将用于执行推理任务

苹果人工智能服务器芯片Baltra或将用于执行推理任务

苹果一贯的策略是:只要技术条件允许,就会将关键环节牢牢掌握在自己手中。早在2024年,业内就多次传出消息称,苹果正与博通合作开发一款AI服务器芯片,内部代号为Baltra。根据当时的报道,这款芯片将采用台积电的3纳米N3E工艺,整个设计周期预计在12个月内完成。如今,Baltra已不再是传闻中的概念

时间:2026-07-03 14:00
蝉联全球AR智能眼镜第一 雷鸟创新Q3海外增长近四倍

蝉联全球AR智能眼镜第一 雷鸟创新Q3海外增长近四倍

2025年12月15日,Counterpoint Research发布的季度报告为全球AR眼镜市场竞争格局增添了全新注脚。数据显示,中国品牌雷鸟创新(RayNeo)以24%的市场份额,连续两个季度稳居全球AR智能眼镜榜首。与此同时,IDC、CINNO Research等多家权威机构的报告均指向同一结

时间:2026-07-03 13:59
当虹科技打造可落地机器人学长逛校园教育场景

当虹科技打造可落地机器人学长逛校园教育场景

12月10日至11日,杭州第二中学2025学术节上,一位特殊的“学长”成为全校师生争相围观的焦点。这台搭载当虹科技“机器人+教育”场景解决方案的人形机器人,不仅能在校园内自主行走、与人流畅对话,更自带一股亲切的“学霸”气质——师生们热情地称它为“二中智兔”。说实话,当一台机器人站在校门口主动向你问好

时间:2026-07-03 13:59
晶科电子荣获多项权威奖项技术引领全球加速彰显LED+智能视觉成长价值

晶科电子荣获多项权威奖项技术引领全球加速彰显LED+智能视觉成长价值

先说说核心判断:晶科电子这一轮接连荣获四项重磅奖项,覆盖权威媒体、产业机构与资本市场,这背后不仅仅体现了公司在技术与布局上的深厚积累,更反映出港股市场对硬科技制造赛道价值认知的一次系统性修复。 近一个月内,广东晶科电子股份有限公司(简称:晶科电子,股票代码:2551 HK)连续斩获四个具有分量的荣誉

时间:2026-07-03 13:59
上海海思谛听筑芯 智能穿戴腕上革命新标杆

上海海思谛听筑芯 智能穿戴腕上革命新标杆

智能穿戴领域的竞争发展到今天,早已不再单纯比拼硬件参数。真正的较量,在于生态融合的能力和系统整体的体验。 不妨听听当下消费者在追问什么——我的手表能不能更懂我?它的健康监测是否真正可靠?脱离手机后,它还能独立、智能地替我处理事务吗?这些问题的答案,其实并不取决于某一颗传感器有多强,或者某一块屏幕有多

时间:2026-07-03 13:59
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜