#行业资讯 微软威胁情报团队发文抨击研究人员提前公布漏洞，但该团队并未回应与研究人员之间的矛盾。此次博客主要针对的可能是 BitLocker 漏洞披露者 Nightmare Eclipse，这名研究人员准备在 7 月公布更多未修复的漏洞，不过微软在博客结尾强调欢迎研究人员继续负责任的通报漏洞，无论其过往互动或声誉如何都可以继续合作。查看详情：https://ourl.co/113147

近期有安全研究人员在微软没有修复漏洞的情况下提前公开漏洞细节和概念验证代码，例如针对 Microsoft BitLocker 加密系统的绕过机制漏洞 (被称为 YellowKey)，所以现在微软威胁情报团队发布博客抨击研究人员这种不负责任的行为，不过该团队并未回应与研究人员之间的矛盾。

事件背景如下：

2026 年 5 月 13 日，研究人员公布针对 Microsoft BitLocker 加密系统的绕过漏洞，同时研究人员还公开相关漏洞的利用程序，彼时微软尚未针对此漏洞发布安全公告以及修复程序，也就是漏洞在没有被修复的前提下被直接曝光，能够物理接触到设备的攻击者可以利用漏洞检查被加密的文件。

当时研究人员 Nightmare Eclipse 指责微软安全团队不负责，研究人员与负责接收漏洞通报并进行评级的微软安全团队出现矛盾，具体矛盾内容我们不得而知，但最终这名研究人员决定直接公开漏洞放弃微软提供的漏洞奖金，而这并不是结束，事实上这只是矛盾激化的初始阶段。

之后微软旗下的代码托管平台 GitHub 封禁这名研究人员的账号，该账号用于发布针对 Microsoft BitLocker 漏洞的概念验证程序，这直接导致矛盾被彻底激化，目前这名研究人员已经决定在 7 月份公开更多微软尚未修复的安全漏洞，这或许也是现在微软威胁情报团队发布博客的原因。

微软抨击这种不负责任的行为：

微软威胁情报团队 (MSRC) 称，每年微软都会通过协调漏洞披露机制与外部安全研究人员合作，这是行业标准，要求研究人员与受影响的供应商分享漏洞，以便供应商有机会在漏洞细节被公开披露前进行修复，确保大多数用户不会受到漏洞的影响。

通过这项合作，微软还能确保研究人员因其负责任的披露漏洞而获得报酬，微软也会表彰研究人员的专业知识。然而像是 RedSun、UnDefend、YellowKey 等漏洞并未得到负责任的披露，为应对这些漏洞带来的安全风险，微软安全团队夜以继日地工作以了解漏洞并开发安全更新。

微软坚决反对这种未经适当协调的漏洞披露，因为这些披露可能损害客户和数字生态系统，未经协调的披露会将未修复漏洞的概念验证代码交给犯罪分子，这是绝对不可原谅的、并且会造成实际后果，微软的数字犯罪部门也将继续对犯罪分子及其幕后推手提起法律诉讼，微软将根据需要与世界各地的执法部门进行协调。

微软深知不可能在所有事情上都能达成一致，但微软会继续致力于保持透明和持续创造对话机会，微软安全团队也将继续支持负责任的安全研究，并快速调查、修复和发布影响客户的漏洞更新，最后微软始终欢迎任何人继续向微软通报漏洞，无论其过往互动或声誉如何。

via MSRC