微软封号起诉漏洞披露者 强硬手段引发争议

5月31日，微软因处理零日漏洞的方式在安全社区引发激烈争议。事件起因是名为Nightmare Eclipse的用户公开与微软决裂，直接发布了概念验证漏洞利用代码。从其发帖内容判断，此人很可能是心怀不满的前雇员。然而，真正让安全研究员Kevin Beaumont警觉的并非这位用户的过激行为，而是微软随后采取的一系列应对措施。

微软暗示计划对Nightmare Eclipse提起刑事诉讼，理由是其披露漏洞时未遵循“适当的协调程序”。与此同时，微软封禁了该用户在GitHub、GitLab以及微软安全响应中心的账户。Beaumont一针见血地指出：“账户都被封了，以后还怎么‘负责任地’报告漏洞呢？”

更让Beaumont担忧的是，微软自身也曾有过类似行径——他们曾招聘过一些公开发布过零日漏洞利用程序的人，其中甚至有人背负犯罪记录。此外，微软还从漏洞利用程序贩子手中直接购买漏洞利用程序。这种“只许州官放火”的双重标准，无疑严重削弱了微软在漏洞披露问题上的公信力。