Windows零日漏洞遭白帽黑客曝光 微软强硬回应引争议

Windows——全球部署最广的操作系统，连同微软旗下的Azure云服务，长期是黑客与漏洞利用者的重点攻击目标。按理说，微软应当对这种安全风险保持最高警惕，但现状远未达标。

微软与安全研究员（业内常称白帽黑客）的合作本已形成成熟闭环：研究员挖掘漏洞，微软修补漏洞并支付悬赏奖金。但近期，代号“梦魇日蚀（Nightmare Eclipse）”的研究员连续公开曝光了Windows及微软其他系统的六个高危安全漏洞。按行业标准流程，这类漏洞理应私下提交给微软，而非暴露于公众视野。不过，根据其博客声明，此番公开披露更像是一次被逼到角落后的反击。

“往常我会按流程一遍遍催促他们修补漏洞，”他在接受《PCMag》采访时写道，“简单说，微软方面曾亲口威胁要毁掉我的生活，而他们也确实这么干了。我不知道是不是只有我承受了这种待遇。大多数人大概会选择忍气吞声，但他们夺走了我的一切。他们百般刁难，使出各种幼稚手段针对我。那段日子真的难熬，我甚至分不清自己面对的是家大型企业，还是一群以折磨他人为乐的人。但显然，这是微软内部集体决策的结果。”

此事背后折射出更深层的矛盾：微软与美国军方存在合作，按理应极度重视网络安全。过去几年，Azure接连曝出多起影响恶劣的黑客入侵事件，让微软CEO萨提亚·纳德拉颜面尽失。维护与善意白帽黑客的良好关系，本应是保护微软用户安全的核心手段。但如今，随着AI驱动的网络攻击频率攀升，微软对黑客及公开漏洞的人员态度反而愈发强硬。

针对“梦魇日蚀”的爆料，微软正式回应：

此次被曝光的六大漏洞——赤日、无御、蓝锤、黄钥、绿等离子、迷你等离子，均未遵循规范流程进行负责任披露。这些公开行为引入了不必要的安全风险，为此我们的安全团队已全天候运转，评估漏洞危害、保护用户安全并研发补丁。我们坚决反对此类做法。任何脱离正规协作流程、可能损害用户及整个网络生态的漏洞公开行为，都不为我们所接受。未经协调就将未修复漏洞的概念验证代码泄露给不法分子，无论如何都站不住脚，还会引发一系列现实后果。微软全体安全团队始终全力追踪企图利用这类漏洞攻击微软产品及用户的威胁势力。公司数字犯罪部门也会持续对相关人员及协助其开展非法活动的主体提起诉讼，并按需与全球各地执法部门协作。

这份声明立即激怒了众多安全研究员。措辞严厉，隐约暗示：哪怕只是单纯公开漏洞，相关人员也会被追责。例如，前微软高级安全分析师凯文·博蒙特在资讯网站 DoublePulsar.com 上直言：“如果微软打算将不遵守其时常主观随意的‘负责任披露’规则的行为定性为犯罪，那他们在法庭上恐怕很难站稳脚跟。”

从法律层面看，美国宪法第一修正案的言论自由条款会为“梦魇日蚀”的公开披露提供保护。但根据漏洞的获取方式，他也有可能违反《计算机欺诈与滥用法》。而博蒙特在《The Verge》的报道中，更是直指微软在这件事上尽显虚伪。

等等，现在制作、传播零日漏洞的概念验证利用程序也成了‘犯罪活动’？微软企业法律事务部到底是谁批准的这种措辞？要知道，微软旗下的 GitHub 才是全球最大的零日漏洞分发平台。不遵守一套人为制定的‘负责任披露’流程，本身并不违法。除此之外，‘梦魇日蚀’的 GitHub 账号（归属微软）、微软合作平台 GitLab 账号均被封禁，他还在社交平台遭人肉搜索，微软漏洞报告中心（MSRC）的账号也被停用。一个人被全面封杀后，又该怎么继续‘按规范’上报后续漏洞？

更尴尬的是，博蒙特在同一篇文章中还指出，微软此前曾聘用过多名有公开记录、向俄罗斯、伊朗等敌对国家出售漏洞的安全研究员。“多年来，微软明知部分在职员工曾公开表示会向俄、伊等国售卖漏洞，却依旧留用。该公司一向有聘用这类人员的先例，其中甚至包括有黑客犯罪前科、以及公开泄露零日漏洞的人。”

微软体量庞大、业务遍布全球，自然难免成为个人黑客乃至国家级黑客势力的攻击目标。同时作为全球市值最高的企业之一，微软迫于华尔街压力，一心追求亮眼财报，有时便在安全环节偷工减料。软件出现漏洞本在所难免，但步入人工智能时代后，微软遭受网络攻击的频率还会呈指数级增长。当下这般刻意与安全研究员对立，实在算不上明智之举。

就像博蒙特在文末所言：“倘若微软执意要将不遵从其主观制定的‘负责任披露’规则的行为入罪，这场官司他们很难打赢。因为微软过往一系列决策和背后的诸多事实，都会在庭审中被一一揭开。”