微软近日与一名独立安全研究员围绕多项未修补软件漏洞的公开披露发生争执，并表示将考虑采取法律行动及报警处理，引发网络安全领域对漏洞披露责任边界的新一轮讨论。

微软指责研究员未进行“负责任披露”

微软在周三发布的博客文章中点名批评一名网名为“Nightmare Eclipse”的安全研究员，称其公开披露了多个尚未修补的安全漏洞及利用代码。这些漏洞包括“BlueHammer”“RedSun”“UnDefend”和“YellowKey”，涉及Windows内置杀毒引擎Defender以及磁盘加密工具BitLocker等产品。

微软在博客中表示，Nightmare Eclipse在未尝试通过官方渠道向公司报告漏洞、以便修复的情况下直接公开细节和利用方法，违背了其所谓“负责任披露”的做法。微软认为，这种做法可能为恶意黑客提供可乘之机。

微软及美国网络安全和基础设施安全局（CISA）均表示，Nightmare Eclipse披露的部分漏洞已被黑客用于现实攻击。

微软在博客中写道，其数字犯罪部门将“继续对这些行为者及其犯罪活动的助力者提起诉讼，并根据需要与全球执法机构协调行动”。根据微软官网介绍，该部门的职责包括通过民事法律行动、技术对策、刑事举报和公私合作等方式保护公司。

研究员称曾尝试联系微软

Nightmare Eclipse在过去几周发布的一系列博客中则表示，自己曾尝试与微软联系，但遭到不当对待。其称，微软撤销了其微软安全响应中心（MSRC）账户访问权限，而该门户是研究员向微软报告漏洞的官方渠道。

Nightmare Eclipse暗示，在上述情况下，其选择公开发布漏洞信息，导致相关问题在披露或被利用时属于“零日漏洞”，即软件厂商当时尚未知晓的安全缺陷。

相关漏洞及利用代码曾被发布在微软旗下的开源代码托管平台GitHub以及GitLab上，目前相关账户已被封禁。

Nightmare Eclipse和微软均未就此事回应置评请求。

业界担忧对漏洞披露产生“寒蝉效应”

这起事件重新引发了一个在网络安全领域长期存在且仍具争议的问题：独立安全研究员在发现漏洞后，是否有义务确保相关厂商修复漏洞，以及应在多大程度上推动厂商采取行动。

业内普遍共识之一是，安全研究员应获得漏洞研究工作的报酬。这一观点在2009年发起的“No More Free Bugs”运动后逐步得到广泛接受。近二十年来，多数大小科技公司已建立漏洞赏金计划，向私下披露漏洞并在修复后协调公开细节的研究员支付奖励，金额最高可达六位数甚至更高。

在Nightmare Eclipse事件中，多名安全研究员在社交平台和博客上分享了向微软报告漏洞时的负面经历，网络安全社区对微软此次处理方式普遍表示不满。

Luta Security创始人Katie Moussouris表示，微软在博客中重新使用“负责任披露”这一表述，是令其感到不安的第一点。她曾在2000年代中后期任职微软期间推动建立漏洞赏金计划，并促使微软放弃“负责任披露”概念，改用“协调披露”。

Moussouris对TechCrunch表示，在博客中提及微软数字犯罪部门并以可能提起诉讼相威胁“过于极端”，只会削弱安全研究员对微软的信任。她警告称，如果研究员对微软失去信任，可能产生“寒蝉效应”，减少向微软报告漏洞的人数，“这将降低我们所有人的安全性”。

安全研究员、前微软员工Kevin Beaumont也在个人博客中批评微软，称微软当前立场是“一场自掘坟墓的垃圾火灾”。

Beaumont写道，如今将零日漏洞的概念验证利用代码的制作和传播视为“犯罪行为”，以及以“负责任披露”之名尝试推动刑事起诉，代表了一个“新的低点”。