微軟為什麼威脅資安研究員？

因為化名 Nightmare Eclipse 的研究員公開揭露了微軟多項未修補的產品漏洞（包括 BlueHammer、RedSun、UnDefend、YellowKey），並附上利用程式碼，微軟認為此舉構成未經授權的公開披露，因此威脅提起法律訴訟並報警。

這些漏洞影響哪些微軟產品？

被揭露的漏洞包括 BlueHammer、RedSun、UnDefend 和 YellowKey，影響微軟旗下多款產品，但完整受影響產品清單尚未完全公開。

資安社群普遍批評微軟的做法，認為威脅善意研究員會產生寒蟬效應，阻礙未來的漏洞通報，與業界鼓勵負責任揭露和設立漏洞懸賞計畫的趨勢背道而馳。

Highlights

資安研究員 Nightmare Eclipse 公開揭露微軟產品中 BlueHammer、RedSun、UnDefend、YellowKey 等多項未修補漏洞

微軟以法律訴訟和報警威脅回應漏洞揭露，並發表部落格文章公開批評該研究員

微軟的強硬態度引發資安社群廣泛批評，被認為可能產生寒蟬效應

此事件凸顯資安研究員與軟體廠商在漏洞揭露流程上的長期爭議

根據 TechCrunch 報導，一名使用「Nightmare Eclipse」化名的資安研究員，近日公開發表了一系列微軟產品中尚未修補的漏洞，並附上可用於利用這些漏洞的程式碼。然而，微軟對此的回應並非感謝或積極修補，而是威脅要對該研究員提起法律訴訟並報警處理。

週三，微軟發表了一篇部落格文章，公開批評該研究員將多項漏洞資訊公諸於世，包括被命名為 BlueHammer、RedSun、UnDefend 及 YellowKey 的安全缺陷。這些漏洞影響了微軟旗下多款產品。

微軟的強硬態度在資安社群中引發了廣泛的批評聲浪。許多業界人士認為，威脅對善意揭露漏洞的研究人員採取法律行動，不僅無助於提升產品安全性，反而會對整個資安生態系統產生寒蟬效應，使得未來更少研究員願意主動回報安全問題。

資安研究員與軟體廠商之間的漏洞揭露爭議由來已久。業界普遍採用的「負責任揭露」（Responsible Disclosure）流程，通常會給予廠商一定時間修補漏洞後再公開。然而，當廠商遲遲不修補或忽視通報時，部分研究員會選擇直接公開披露，以促使廠商正視問題並保護使用者。

微軟此次的處理方式，被認為與科技業近年來逐漸重視資安研究員貢獻的趨勢背道而馳，也與許多大型科技公司設立漏洞懸賞計畫、鼓勵研究員回報問題的做法形成鮮明對比。

原文來源： 查看原文