在过去的几个月里，Windows 安全领域最具争议的人物，非 Nightmare-Eclipse（又名 Chaotic Eclipse）莫属了。

这位安全研究员手中掌握着一连串“零日漏洞”清单，让整个 Windows 安全圈子坐立难安。从 Windows Defender 到 BitLocker，几乎每隔几天就会有一个新的利用代码被公开上传，而且——都是尚未修复的那种。

与那些遵守“协调披露”流程、按规矩行事的研究人员不同，Nightmare Eclipse 对微软的态度从一开始就写着“我跟你杠上了”。他公开表示，之所以选择直接披露漏洞，是因为对微软安全响应中心（MSRC）的处理方式极度不满。在漏洞赏金计划中一分钱没拿到，反而碰了一鼻子灰，还被各种“使绊子”。

微软方面的回应也相当干脆：直接封禁了他的 GitHub 账号，并删除了相关仓库。随后有消息称，连他专门用于提交漏洞报告的微软账号也被注销了。

这场对抗如今仍在升级——GitHub 封号后不久，Nightmare Eclipse 在 GitLab 上的账号也被封停。同时，他放出消息称，7 月 14 日“会有新动作”。

“我从来不想这么做……”

这场冲突并非一时冲动，而是持续了近两个月的针锋相对。一切还得从 2026 年 3 月底说起。

3 月 26 日，Nightmare Eclipse 新建了一个博客，第一篇帖子标题就是《我从来不想这么做……》。

他在帖子中表示，自己根本不想开新博客，更不想再去注册一个 GitHub 账号来发布这些代码……

“但有人违背了我们之间的约定，让我变得一无所有，甚至无家可归。他们明明知道事情会发展成这样，却依然选择从背后捅我一刀。这是他们的决定，而不是我的。”

当时，外界还不太清楚他指的是谁。

几天后，答案揭晓了——一个名为 BlueHammer 的漏洞被公开，矛头直指微软和 MSRC。

他在帖子中写道：

「我之前并不是在虚张声势地威胁微软，现在我又来了。
与前几次不同，这次我不会解释它的工作原理。你们这些“天才”自己去研究吧。
另外，特别感谢 MSRC（微软安全响应中心）的管理层，让这一切成为可能！！！
还要特别“感谢”Tom Gallagher！」

需要说明的是：以上关于微软行为的描述，都是 Nightmare Eclipse 的“一面之词”，微软方面并没有公开回应这些指控。

简单来说，BlueHammer 是 Windows Defender 的一个权限提升漏洞。攻击者在获得普通用户权限后，可以借此直接提升到系统最高权限。换句话说，哪怕只是拿到了设备的普通权限，攻击者也能利用这个漏洞一路渗透到系统最深处，窃取凭据、搞破坏，那些需要高权限才能执行的操作全都能干。

截至发稿，该漏洞已被分配 CVE-2026-33825，微软也发布了修复补丁。不过有趣的是，漏洞提交者署名为 Zen Dodd 和 Yuanpei Xu，而不是 Nightmare Eclipse。

有外媒推测，这可能有两种情况：一是漏洞被多人独立发现；二是微软考虑到 Nightmare Eclipse 的不合规披露方式，拒绝为其署名。

六周六个 0day

自那以后，Nightmare Eclipse 进入了“疯狂输出”模式。短短六周内，除了 BlueHammer，他陆续公开了另外五个漏洞和多个利用工具。包括：

RedSun：同样是 Windows Defender 的权限提升漏洞，攻击路径与 BlueHammer 不同，但最终效果一致——骗过系统，让攻击者的代码以最高权限运行，一次微不足道的入侵，瞬间变成整台设备的完全控制。

UnDefend：这个名字听着就不太正面。它不直接帮你夺取控制权，核心作用是破坏 Defender 的防护能力。它能阻止 Defender 更新病毒库、检测新威胁，而且表面上看系统一切正常。在完整的攻击链中，它专门用于“规避安全检测”：攻击者提权之后，再运行这个工具，后续的恶意行为几乎不会被发现。

GreenPlasma：又是一个 Windows 本地权限提升漏洞。不过这次公开的不是完整的利用程序，而是基础代码模块。技术成熟的攻击者可以在此基础上进行二次开发，获取高权限。它的意义在于，攻击范围不再局限于 Defender，而是延伸到了 Windows 更多底层组件。

YellowKey：这个比较厉害，它能绕过 BitLocker 磁盘加密。如果设备只依赖 TPM（可信平台模块）单独加密，那么有物理接触能力的人，就能直接读取加密磁盘里的数据。一句话总结：出厂默认配置的 BitLocker 笔记本电脑丢了，基本等于裸奔。攻击者可以通过系统恢复机制，轻松解锁加密磁盘。要防范它，需要搭配开机 PIN 码、固件密码，再配合规范的管理制度。

MiniPlasma：和 GreenPlasma 类似，也是本地权限提升漏洞的基础代码模块，供高手二次开发使用。

需要特别指出的是，这些漏洞绝非“纸上谈兵”。已经有多个安全团队在真实攻击中观测到它们被组合使用。据《今日安全》报道，攻击者常常把这些针对 Defender 的漏洞和勒索软件打包，一并投放到目标环境中。

研究员的不满：“他们会毁掉我的人生”

真正让争议升级的，不是漏洞本身，而是 Nightmare Eclipse 的行为方式。按照行业惯例，研究人员在公开漏洞前，通常会留出几十天甚至几个月的时间，让厂商修复。但 Nightmare Eclipse 显然不打算走这条路。

他在后续帖子里解释了自己为什么“本来不想变成坏人”：

「我曾被他们亲口告知，他们会毁掉我的人生。而他们后来也确实这么做了……对我来说，他们夺走了我的一切。他们各种为难，使尽了各种幼稚的手段。有一段时间，情况糟糕到让我怀疑自己面对的究竟是一家大型跨国公司，还是某个以看我受苦为乐的人。

遗憾的是，那些本有能力阻止这些公开披露事件发生的人，不仅毫不在意，甚至似乎还在推动更严重的漏洞被释放出来。我原本并不想做这些事，也不想变成所谓的“坏人”。但他们正在不断刺激我，逼着我开始公开远程代码执行（RCE）漏洞。

而在未来某个时候，我确实会这么做。我会亲自确保，微软每发布一次补丁，事情都会比上一次更“有趣”。」

基于这些不满，多个漏洞在尚未修复的情况下便被公开发布，有些项目还直接附带完整利用代码。

GitHub 出手直接封号，GitLab 也迅速跟进

随着漏洞公开的频率越来越高，微软终于动手了。5 月下旬，GitHub 突然封禁了 Nightmare Eclipse 的账号，仓库里的漏洞利用代码一夜之间全部消失。由于 GitHub 本身是微软的，这一举动立刻引爆了争议。

支持微软的一方认为，公开未修复漏洞本身就是极不负责任的行为，这等于给黑产圈递刀子，变相帮坏人搞入侵。

但另一方不这么看：微软既是漏洞厂商，又是 GitHub 的所有者。一个专门披露微软漏洞的研究员，被微软旗下的平台封禁——这里面是否存在利益冲突？外媒 Cybernews 甚至直接用了这样的标题：“被激怒的研究员与微软之间不断升级的报复战”。

被 GitHub 封禁后，Nightmare Eclipse 迅速转移阵地。不少人以为 GitLab 会成为新家，结果没过几天，情况又反转了。GitLab 在 5 月 26 日也封停了 Nightmare Eclipse 的账号。

GitLab 的封禁原因目前还没有公开说明，但从时间点上看，很难不让人联想到 GitHub 的事。一些安全从业者认为，这是平台在主动降低法律和安全风险。

这一系列操作，也让外界对 Nightmare Eclipse 的真实身份产生了各种猜测。从技术能力看，他很可能曾是微软员工——虽然这个传闻没被证实，但此人对于微软代码库和系统架构的熟悉程度，完全达到了内部人员水平。可以肯定的是，他确实具备挖掘 Windows 深层漏洞的能力。

账号被封后，Nightmare Eclipse 的情绪显然又上了一个台阶。他最新发文，详细解释了这么做的原因：

“让我把事情捋清楚。当我主动请求你们与我沟通时，你们拒绝了我，羞辱了我，还想方设法当着别人的面侮辱我。

你们在 CVE-2026-45585 的安全公告中公开抹黑我。可事实上，正是你们删除了我用来向微软提交漏洞报告的那个微软账号。我从提交这些漏洞中一分钱都没拿到，却还是像个傻子一样乐此不疲地帮你们报告问题。

现在，你们又进一步举报了我的 GitHub 账号，直接把它从公众视野中抹掉？就这么轻而易举？

你们正在向所有人证明，是你们在主动升级这场冲突。但我已经不打算再求你们了。也许我听起来像个疯子，像个只会抱怨的傻瓜，但我说的每一句话都有证据。只是现在我还不能公开。

为什么？因为微软依然用锁链束缚着我。

这种情况已经持续很多年了，而我已经无法继续保持沉默。我希望很快就能把相关文件公布出来。

记住这个日期：7 月 14 日。那一天，我会确保把你们的‘骨头彻底打碎’。6 月份不会有任何东西公开。当然，也许会发点什么，具体要看情况。」

最后

如今，Nightmare Eclipse 的 GitHub 和 GitLab 账号都已经消失，但事情显然远未结束。按照他最新表态，他仍在继续研究新的 Windows 漏洞，并计划在未来公开更多内容。

随着事态发酵，也有网友发表了另一种观点：“这个研究员在短短几周内对微软安全改进的贡献，比他们大多数工程团队加起来都多。应该聘用他，而不是试图封杀他。”

对于微软来说，眼下最大的麻烦，或许已经不是某一个具体的漏洞了，而是如何避免与更多安全研究员走到如此彻底的对立局面。因为当一位手握 0day 挖掘能力的研究员，决定放弃“协调披露”规则时，受影响的不只是厂商自己，而是整个生态。