一位名為 Nightmare-Eclipse（又稱 Chaotic Eclipse）的安全研究人員日前被微軟封禁了 GitHub 賬號，同時其用于報告漏洞的 Microsoft 賬戶也遭到刪除，被迫轉移至 GitLab。這一事件在安全研究社區(qū)引發(fā)強烈反響，Eclipse 本人更公開指控微軟的行為是"報復性"的，并暗示將在 7 月 14 日做出"清算"。

Eclipse 是一位長期參與微軟漏洞賞金計劃的安全研究員。據(jù)其自述，在多年向微軟報告零日漏洞后，收到的報酬是"零美分"——盡管微軟的 MSRC 計劃對終端零日漏洞的懸賞高達 3 萬至 10 萬美元，對 Hyper-V 漏洞的最高懸賞更可達 25 萬美元。Eclipse 聲稱，微軟不僅拒絕與其進行任何溝通，還直接封禁了其賬戶并刪除了其報告漏洞所用的 Microsoft 賬號。

封禁后，Eclipse 在博客發(fā)表文章，詳細披露了這一事件的經(jīng)過，并暗示已經(jīng)掌握了六個零日漏洞。文中的一句話引發(fā)關注："7 月 14 日將給微軟帶來清算。"這被普遍解讀為某種形式的公開警示或威懾聲明。

此事的爭議核心在于：安全研究人員披露軟件漏洞的行為，是否可以成為平臺封禁其賬戶的理由？支持者的論點是，漏洞披露是網(wǎng)絡安全的重要組成部分，沒有安全研究人員的主動披露，大量嚴重漏洞將被埋藏，對最終用戶造成更大危害。封禁這樣的研究人員，本質上是在懲罰對公共安全有益的行為。

而反對者——或者說質疑者——則會指出，如果 Eclipse 真的在未授權情況下公開了尚在修復中的零日漏洞，這本身就違反了大多數(shù)漏洞賞金計劃的條款和條件。問題的關鍵在于證據(jù)和程序：微軟是否向 Eclipse 提供了充分的溝通機會？封禁措施是否經(jīng)過了適當?shù)膬?nèi)部審查？

這起事件暴露了當前漏洞賞金機制的一個根本性矛盾：平臺和廠商在規(guī)則制定上是既當裁判員又當運動員的。微軟一方面運營著全球最大的代碼托管平臺之一，另一方面又是安全漏洞的潛在"受害方"和賞金計劃的管理者。當賞金金額與漏洞實際市場價值之間存在巨大鴻溝時，研究人員是否有權將漏洞轉售給其他買家——這是一個懸而未決的行業(yè)倫理問題。

Eclipse 在失去正常渠道后的反應（封禁、刪除賬戶、轉移至競品平臺），以及隨之而來的"7 月 14 日"警告，是否構成對微軟的"報復"，取決于其最終披露的內(nèi)容性質。如果屆時披露的是已經(jīng)在野被利用的漏洞，那將不僅是法律層面的爭議，更可能演變?yōu)楣舶踩C。

無論如何，這起事件再次提醒整個行業(yè)：安全研究需要透明、公正和響應迅速的正反饋機制，而不是讓研究人員在漫長的等待后得到"零美分"和沉默。

參考來源：https://www.tomshardware.com/tech-industry/cyber-security/microsofts-github-bans-security-researcher-who-posted-zero-day-windows-exploits-because-company-ruined-their-life-expert-claims-action-is-vindictive-and-promises-further-retaliation[1]

References

1. https://www.tomshardware.com/tech-industry/cyber-security/microsofts-github-bans-security-researcher-who-posted-zero-day-windows-exploits-because-company-ruined-their-life-expert-claims-action-is-vindictive-and-promises-further-retaliation: https://www.tomshardware.com/tech-industry/cyber-security/microsofts-github-bans-security-researcher-who-posted-zero-day-windows-exploits-because-company-ruined-their-life-expert-claims-action-is-vindictive-and-promises-further-retaliation