想象一下这个场景你发现了邻居家防盗门的致命缺陷第一时间悄悄告诉了他结果他不但没有感谢你还把你拉黑了说你在造谣。你等了几个月缺陷没有修拉黑没有解除。于是你在小区业主群里发了一条公告。现在这个防盗门的漏洞全小区的人都知道了——包括那些真正想撬锁入室的人。这不是假设这是 2026 年 5 月正在真实发生的事只是主角从邻居换成了微软防盗门换成了 Windows 操作系统。一位研究员六个漏洞一场公开对抗事情的起点是今年 4 月初。一位化名Nightmare-Eclipse也叫 Chaotic Eclipse的安全研究员在 GitHub 上公开了一个名为BlueHammer的 Windows 零日漏洞的利用代码。这个漏洞利用了 Windows 内核中的 TOCTOU检查时与使用时不一致竞态条件与路径混淆问题攻击者可以借此访问本地账户的密码哈希进而获取系统最高权限 SYSTEM——相当于拿到了整台电脑的万能钥匙。零日漏洞0-day是安全领域的专有名词指的是软件厂商尚未发布补丁、因此攻击者可以肆意利用的漏洞。按照行业惯例发现此类漏洞的研究员应当先私下通知厂商给厂商一段合理的修复时间通常是 90 天之后才能公开披露。Eclipse 说他做了这一步。他向微软安全响应中心MSRC私下报告了 BlueHammer但微软驳回了他的报告拒绝支付漏洞赏金并给他造成了经济损失。他在博客中写道微软亲口说要毁了我的生活他们也做到了。于是他公开了漏洞。之后他没有停下来。RedSun、UnDefend、GreenPlasma、MiniPlasma、YellowKey——一个接一个共 6 个 Windows 零日漏洞被他陆续公开。BlueHammer 和 RedSun可以通过 Windows Defender 本身提权获取 SYSTEM 权限——也就是说微软的防病毒软件成了攻击入口。UnDefend可以让 Defender 整体下线让系统裸奔在攻击面前。YellowKey更夸张它可以几乎无门槛绕过 BitLocker 磁盘加密而 BitLocker 是 Windows 保护静态数据的核心机制之一。其中 BlueHammer、RedSun 和 UnDefend 已被安全机构确认在野遭到实际利用。换句话说真正的黑客已经在用这些漏洞攻击真实的用户。微软的应对方式是封禁了 Eclipse 的 GitHub 账号并删除了他用于向 MSRC 报告漏洞的账户。未说明任何理由。Eclipse 随即宣布7 月 14 日他将公开更多 Windows 零日漏洞。赏金背后是一个破损的系统要理解这场冲突需要先理解漏洞赏金计划是怎么运作的以及它为什么正在失灵。理论上漏洞赏金计划Bug Bounty Program是一种聪明的设计厂商用钱激励外部安全研究员挖漏洞并报告研究员获得收益厂商得到安全加固皆大欢喜。微软的 MSRC 项目对普通零日漏洞支付最高 3 万到 10 万美元针对 Hyper-V 虚拟化层漏洞的赏金甚至高达 25 万美元。但实际运作中这个机制正在多个环节腐化。第一个问题是赏金缩水。这不是 Eclipse 一个人的遭遇。知名安全专家 William Dormann 在公开评论中说得很直接MSRC 过去非常优秀但微软为了削减成本裁掉了懂技术的人留下的只是按流程走文件的行政人员。一位名叫 MalwareTech 的研究员此前曾发现他提交的一个 bug 赏金从原来的 10,000 美元被单方面削减到了 1,000 美元。第二个问题是流程刁难。据 Dormann 分析微软 MSRC 现在要求研究员提交漏洞利用视频才能立案——这是一项在业界颇为罕见的要求。对于一些难以稳定复现的漏洞这个门槛几乎让正常的披露流程寸步难行。第三个问题是不对等的权力关系。当厂商驳回报告、拒绝赏金研究员几乎没有任何申诉渠道。他们投入了数百小时的挖掘工作面对的却是一个没有回应的黑盒。Eclipse 选择了最激烈的方式反击——把漏洞公开给全世界。这是一个危险且充满争议的选择但它精准地戳在了整个漏洞披露生态最脆弱的地方当守规则的人得不到应有的回报守规则的动机就会瓦解。公开披露是威胁还是最后的武器安全研究界对 Eclipse 的行为存在明显分歧。一方认为无论厂商如何对待研究员不负责任的完全公开都是不可接受的——因为第一个受害的永远是普通用户而不是微软。三个漏洞已在野被利用意味着此刻正有真实的电脑被入侵真实的数据被盗取。另一方认为Eclipse 的公开披露至少让用户知道了危险的存在让安全社区能够开始研究防护方案而如果保持沉默厂商可能无限期拖延修复用户在毫不知情的状态下持续暴露。这不是一个新争论。每隔几年漏洞研究界和大型科技公司之间就会爆发类似的冲突。谷歌的 Project Zero 曾因严格执行 90 天披露期限与微软多次交锋多名独立研究员也曾因赏金纠纷或报告被驳回而选择公开披露。争论的核心始终是同一个问题在一个不平等的权力关系中研究员手里的公开披露牌到底是谈判筹码还是核武器7 月 14 日倒计时开始Eclipse 把下一次披露的日期定在了 7 月 14 日这个日期并非随机选择——那正是微软每月发布安全补丁的补丁星期二Patch Tuesday。这是一个带有讽刺意味的时间选择你的修复日就是我公开的那天。对于普通 Windows 用户而言这个倒计时意味着什么最直接的建议现在就把系统更新打到最新。微软已经在近期的安全补丁中陆续修复了部分 Eclipse 公开的漏洞但补丁的覆盖完整性尚不明确。保持系统更新开启是目前能做的最基础的防护。更深远的问题是这场事件暴露的不只是几个技术漏洞而是整个行业在安全研究者激励机制上的系统性缺陷。当越来越多的研究员感受到守规则没有回报漏洞经济的黑市——那个向黑客组织、国家级攻击者出售零日漏洞的地下市场——将会更具吸引力。那里从不拒绝赏金也从不封号。