微软威胁对安全研究人员展开刑事调查，遭业界强烈批评

一位安全研究人员在微软产品中发现了一系列未修复的漏洞，并公开发布了相应的漏洞利用代码。对此，微软不仅发文批评，还威胁将对其采取法律行动并报警处理。这一举动再度点燃了业界长期以来的争议：安全研究人员究竟是否有义务向大型科技公司披露所发现的漏洞？

微软于本周三发布博文，点名批评网名为"Nightmare Eclipse"的研究人员，指其在未事先通知微软的情况下，公开披露了一系列安全漏洞，包括BlueHammer、RedSun、UnDefend和YellowKey。这些漏洞波及Windows内置杀毒引擎Defender以及磁盘加密工具BitLocker等产品。

微软的核心诉求是：该研究人员未尝试通过正规渠道上报漏洞，以便公司及时修复。微软在博文中将这种做法定性为缺乏"责任感"。此外，微软还指出，Nightmare Eclipse在漏洞未被修复之前便公开了详细信息和利用方式，此举可能助长了恶意黑客的攻击行为。据微软及美国网络安全机构CISA透露，Nightmare Eclipse所披露的部分漏洞已被黑客用于真实攻击。

"我们的数字犯罪部门将持续追究这些行为者及其犯罪活动协助者的责任，并视情况与全球执法机构协调合作。"微软在博文中写道。据微软官网介绍，其数字犯罪部门的职责涵盖"民事法律行动、技术反制措施、刑事移送及公私合作"等多种方式保护公司利益。

Nightmare Eclipse方面则在近期连续发布的多篇博文中声称，自己曾尝试与微软沟通，但遭到了不公正对待，包括被撤销微软安全响应中心账户的访问权限——而该中心正是研究人员向微软上报漏洞的官方渠道。Nightmare Eclipse表示，正是由于这一系列阻碍，他们才被迫选择公开披露漏洞。这实际上意味着，这些漏洞在披露时尚属"零日漏洞"——即软件开发商在漏洞被披露或利用时尚未知晓的安全缺陷。

该研究人员随后将漏洞发布于GitHub（隶属微软旗下）和GitLab等开源代码托管平台，但其在两个平台上的账户均已遭到封禁。目前，Nightmare Eclipse拒绝就此事置评，微软方面亦未就博文内容作出进一步回应。

网络安全界警告：此举将产生寒蝉效应

这场公开争执将一场由来已久、至今仍存争议的辩题重新推上风口浪尖：独立安全研究人员是否有责任确保所发现的漏洞得到修复？他们又应当为此付出多大努力，才算尽到了应尽的义务？

这一争论中有一点已基本达成共识，即研究人员理应为其工作获得报酬。尽管如今这听起来不言而喻，但这一共识的形成经历了多年的艰难争取。2009年，业界曾发起一场名为"不再免费提供漏洞"的运动，部分记录了这段历史。近二十年后的今天，无论大小公司，大多已建立起"漏洞赏金"机制，对私下披露漏洞并配合协调发布的研究人员给予资金奖励，金额有时高达六位数甚至更多。

在此次围绕Nightmare Eclipse事件的争论中，大量安全研究人员纷纷分享了自身向微软上报漏洞时的不良经历。可以说，网络安全社区的相当一部分人对微软处理此事的方式公开表达了强烈不满。其中包括Luta Security创始人Katie Moussouris——她曾于2000年代中后期任职微软，是漏洞赏金制度的先驱推动者，并成功推动这家科技巨头以"协调披露"取代原有的"负责任披露"概念。

"在我看来，援引'负责任'披露这一说法已经是第一个败笔，"Moussouris在接受TechCrunch采访时谈及微软的博文时表示，"再加上提及数字犯罪部门、暗示将提起刑事追诉，完全是矫枉过正，只会让安全研究人员对微软失去信任。"

Moussouris警告称，一旦安全研究人员对微软失去信任，后果可能是越来越少的人愿意主动上报漏洞，从而产生寒蝉效应，"让所有人都置身于更不安全的环境之中"。

安全研究人员、前微软员工Kevin Beaumont也在一篇博文中公开批评微软，将其立场称为"自酿苦果"。

"为零日漏洞创建并发布概念验证利用代码，现在居然成了'犯罪行为'？"Beaumont写道，"所谓的负责任披露，往往是为了保护产品所有者，而非用户。如今却被用来对人提起刑事追诉，实乃史上新低。"

Q&A

Q1：微软为何威胁对安全研究人员Nightmare Eclipse展开刑事调查？

A：微软指控安全研究人员Nightmare Eclipse在未事先通知微软的情况下，公开披露了多个未修复的产品漏洞，并发布了相应的漏洞利用代码。微软认为此举缺乏"责任感"，且可能助长了恶意黑客的攻击行为。部分漏洞已被黑客用于真实攻击。微软随后在博文中提及将由数字犯罪部门介入，并暗示可能与执法机构协调追责。

Q2：漏洞赏金机制是如何运作的？

A：漏洞赏金（Bug Bounty）是一种由企业向安全研究人员支付报酬的机制。研究人员私下向企业报告发现的安全漏洞，待漏洞修复后再协调公开披露相关细节，企业则据此给予资金奖励，金额有时可达六位数甚至更高。这一机制源于2009年业界发起的"不再免费提供漏洞"运动，如今已被大多数科技公司采纳。

Q3：安全研究人员对微软处理Nightmare Eclipse事件的态度如何？

A：网络安全界对微软的处理方式普遍持批评态度。漏洞赏金制度先驱Katie Moussouris指出，微软援引"负责任披露"并威胁刑事追诉的做法会令研究人员失去信任，产生寒蝉效应，最终导致更少人愿意上报漏洞，使所有人面临更大安全风险。前微软员工Kevin Beaumont也直斥微软此举是"自酿苦果"。