北京
安全研究員凱文·博蒙特(Kevin Beaumont)在社交媒體上翻看一則漏洞公開事件的后續時,微軟的反應方式引起了他的警覺。一名自稱“夢魘日食”(Nightmare Eclipse)的用戶連續發布漏洞概念驗證代碼,與微軟公司公開對峙,部分帖子暗示此人可能是一名心懷不滿的前雇員。微軟隨后發出了不同尋常的信號:公司有意對這名披露者提起刑事訴訟,理由是未遵循“恰當協調”流程。
微軟在回應中表示,正考慮以刑事案件處理 Nightmare Eclipse 未遵守漏洞協調披露的行為,并已同時封禁了該用戶在 GitHub、GitLab 以及微軟安全響應中心(MSRC)的賬戶。博蒙特對此評論稱:“當你已經被禁止訪問所有報告渠道后,就很難‘負責任地’報告未來的漏洞了。”這句直白的質疑點出了操作中的悖論:一邊要求外部研究者遵守規則,一邊又切斷了對方合規提交問題的路徑。
更讓博蒙特感到困惑的是微軟在用人及漏洞交易上的歷史。據他觀察,微軟曾雇傭過那些公開披露零日漏洞的研究人員,其中一些人的履歷上還留有犯罪行為相關的黑客定罪記錄。此外,微軟自身也從漏洞經紀人手中購買過漏洞利用代碼。這種先例意味著,當公司試圖將“未遵循通常任意的負責任披露框架”的行為定為犯罪時,它自己的過往決策將成為法庭上難以辯護的軟肋。
博蒙特在其分析中這樣總結:“如果微軟的策略是試圖將不遵循所謂‘負責任披露’框架這一行為刑事化,那祝你們在法庭上好運——因為在訴訟過程中,微軟內部一連串先前的決策以及相關事實將不可避免地浮現出來,形成一整車的小丑秀。”他用“一整車的小丑”(clown car)形容那些可能被曝光的不一致做法,暗示這些材料會讓微軟的刑事追訴立場變得極為尷尬。
這起沖突折射出安全社區長期存在的爭議:漏洞披露的“恰當協調”究竟該由誰來定義?大型廠商往往將未提前私下通知而公開漏洞視為不負責任,但研究人員則抱怨廠商響應遲緩、獎勵不公,甚至動輒用法律威脅壓制。當廠商自身又兼有購買漏洞、雇傭前黑帽的行為時,所謂“負責任披露”的邊界就變得更加模糊。微軟此番強硬手段可能引發的法律博弈,也許將迫使業界重新審視披露規范的公共屬性,而非任由廠商單方面劃定紅線。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
