对于 Windows 用户来说，隔三差五的系统更新可能是他们最反感的东西，以至于 " 如何关闭系统自动更新 " 的教程在网上热度颇高。当然，微软像 " 家长 " 一样催着用户更新系统也有理由，毕竟每一次更新都会推送安全补丁，以修复系统漏洞、降低恶意软件攻击风险。

对于经常关注相关资讯的朋友来说，诸如 "XX 公司被曝在 XX 软件上存在漏洞，导致 XX 人或设备受到影响 " 这样的消息应该不会陌生。考虑到 Windows 操作系统是一个庞大的超级工程，单靠微软自己的工程师显然很难做到及时找出所有漏洞，所以引入广泛用户的力量很有必要，这就引申出了大名鼎鼎的 Microsoft Bug Bounty Program（微软漏洞赏金计划）。

自从 2013 年启动以来，微软方面已向 70 个国家的数千名安全研究者颁发了超过 6000 万美元奖金。然而就在最近，一向运作良好的微软漏洞赏金计划却出了乱子，微软封禁了安全研究员 Nightmare-Eclipse（又称 Chaotic Eclipse）的 GitHub 账户，并且没有说明具体原因。这位安全研究员认为此举是微软的打击报复，计划于 7 月 14 日公布更多零日漏洞，以此来进行反击。

他在博客文章中描述了一个蛮横霸道、欺凌普通人的微软，并声称其拒绝沟通，没有支付漏洞赏金，还表示微软曾威胁要 " 毁了他的生活 "，而且已将其用于报告漏洞的微软账号一并删除。那么问题就来了，作为跨国巨头的微软，为何会为难这位普通人呢？

事实上，Nightmare-Eclipse 与微软的纠葛始于今年 4 月，他在跳过了微软的协同漏洞披露（CVD）框架，自行在 GitHub 公开了 Windows 一项名为 BlueHammer 的本地提权零日漏洞。而后者则主要是利用了 TOCTOU（检查时与使用时不一致），来获得系统 SYSTEM 权限。

对于 Windows 有一定了解的朋友应该对 SYSTEM 权限不陌生，一旦其他人获得该权限，就意味着系统的最高级别安全权限易主，你的电脑可能至此就不再属于你。既然 BlueHammer 如此重要，Nightmare-Eclipse 作为安全专家自然也不是不知轻重，按照他的说法，微软安全响应中心（MSRC）的响应流程僵化，" 令其过于反感 "。

简而言之，这其实是一个类似羊斟惭羹的故事。由于民间大神不满微软对于高危漏洞漫不经心，所以决定自行公开来倒逼其重视，结果微软不仅不领情，反而对这位大神 " 痛下杀手 "。当然，微软的做法也很好理解，毕竟他们针对此事有专门的协同漏洞披露框架，可这位安全专家跳过标准流程、擅自公开漏洞，就无法确保 Windows 存在的漏洞在公开前就能得到修复。

那么问题就来了，曾经运行良好的微软安全响应中心，为何会响应流程僵化呢？有不少从业者都给出了同一个答案，那就是 AI 导致的 " 降本增效 " 是主因。

由于微软、苹果、谷歌等巨头都建立了向提供漏洞的 " 赏金猎人 " 发放不菲报酬的机制，所以在 AIGC 问世后，就有许多人开始利用 AI 生成的虚假漏洞报告来骗取赏金。

为此，这些公司选择了用 AI 来治 AI。比如，微软就在两年前就推出了基于自有安全模型的生成式 AI 解决方案 Microsoft Security Copilot，并号称其能够帮助防御方发现漏洞。安全人员可以要求 Microsoft Security Copilot 为特定漏洞生成摘要，并向其 " 投喂 " 文件、网址或代码片段以供分析，甚至可以要求它提供来自其他安全工具的事件和警报信息。

当 Microsoft Security Copilot 介入微软安全响应中心后，微软为了节省成本解雇了资深人员。接下来的事情就不难猜了，AI 在网络安全这种敏感、且极度依赖经验的领域表现并不尽如人意，从而直接导致微软安全响应中心陷入 " 链条阻塞 " 的状态。

接下来如果微软方面不进行改变，可能还会有第二个、第三个 Nightmare-Eclipse 出现。到了那个时候，Windows 的安全风险毫无疑问将会被放大无数倍。毕竟民间大神如果自行公开漏洞，可不会给微软留下缓冲时间。

【本文图片来自网络】

加入收藏 点赞 ( 0 ) 踩 ( 0 )