Microsoft 這回不是在回應一個單純的公關危機,而是在把漏洞揭露流程推到一條更硬的法律線上。MSRC 近日公開發文,直接把公開發布未修補漏洞與 proof-of-concept code 的行為,描述成可能牽涉犯罪;同一篇文章裡,Digital Crimes Unit 也被拉上檯面,成了「會持續採取行動」的執法姿態。這種寫法的殺傷力不只在於它對研究者不客氣,而是在於它把原本應該靠協調與修補維持的流程,瞬間改寫成一場帶有威脅感的對峙。
TechCrunch 的報導把這場衝突補得更完整。它指出,事件核心是一位自稱 Nightmare Eclipse 的研究者公開了一批尚未修補的漏洞與利用碼,而 Microsoft 則認為對方沒有照著應有的協調流程先回報。雙方各自講的都是「保護使用者」,但用的語言已經完全不同:一邊是平台方強調責任與秩序,另一邊是研究者與社群懷疑自己被冷處理、甚至被逼到只能公開。到了這一步,爭議就不再只是某幾個 CVE 的技術細節,而是整套信任機制還能不能運作。
這也是為什麼 Kevin Beaumont 在 DoublePulsar 上的批評會被很多研究者拿來當放大鏡。他不是只在護航某一位研究者,而是在點出一個更大的問題:如果大廠把公開 PoC、未走完協調流程的揭露,直接形容成「criminal activity」,那下一次還有多少人願意先私下報告、等補丁、再公開?漏洞揭露機制之所以能維持,是因為雙方都相信對方至少還會守住一部分規則;一旦法律威脅取代了溝通,研究者最理性的反應往往不是更合作,而是更早把資料丟到公開空間,先保護自己。
更麻煩的是,Microsoft 不是一般的受害公司。它有 MSRC,有 GitHub,也有 Digital Crimes Unit。當一家公司同時握有產品、平台與法務槓桿時,它對外說的每一句「責任」都不會只是單純的措辭,而會被解讀成一種治理權力。這種權力如果用得太滿,後果未必是更安全,反而可能讓研究者提早沉默、讓漏洞延後曝光,最後還是讓真正的攻擊者在暗處撿便宜。安全產業最怕的不是分歧,而是分歧讓大家不再願意把問題往前推。
接下來要看的,不是這場爭論誰嗓門大,而是 Microsoft 會不會修正它的語氣,甚至重新界定「協調揭露」和「法律威脅」之間的界線。如果它真的想繼續扮演安全生態裡的主要平台,就得證明自己不只會要求外界守規則,也有能力用讓人願意合作的方式守住規則。否則,這次被點燃的恐怕不只是單一事件,而是研究社群對大廠揭露機制的耐心。
- Microsoft MSRC blog – https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure
- TechCrunch – https://techcrunch.com/2026/05/29/microsoft-under-fire-for-threatening-security-researcher-with-criminal-investigation/
- Kevin Beaumont / DoublePulsar – https://doublepulsar.com/microsofts-stance-on-zero-day-exploits-is-a-dumpster-fire-of-their-own-making-0946117940a4?postPublishedType=repub