事情是这样的。Windows，作为全球用户量最庞大的操作系统，连同微软旗下的云服务平台Azure，长期以来始终是黑客攻击与漏洞利用的重灾区。按常理，微软理应对这些安全风险保持高度警惕，但实际投入与重视程度却远未达标。

微软长期与各类安全研究员（业内常称白帽黑客）维持合作，这套机制本已相当成熟：研究员负责发现漏洞，微软负责修补漏洞，并支付相应奖金作为回报。然而近期，一位代号“梦魇日蚀（Nightmare Eclipse）”的安全研究员，接连公开曝光了Windows及微软其他系统的六个高危安全漏洞。按照行业惯例，这类零日漏洞本应直接提交给微软，而非公之于众、增加风险。但根据其此前发布的博客内容，这次公开披露更像是在无奈之下的反击之举。

“以往我会按流程一遍遍催促他们修复漏洞，”他在接受《PCMag》采访时写道，“简单来说，微软方面曾亲口扬言要毁掉我的生活，而他们也确实这么做了。我不知道是不是只有我经历了这般糟糕的遭遇。我想大多数人都会选择忍气吞声，但他们夺走了我的一切。他们百般刁难，使出各种幼稚的手段针对我。那段日子实在难熬，我甚至分不清自己面对的究竟是一家大型企业，还是一群以折磨他人为乐的人。但显然，这是微软内部集体做出的决定。”

这背后折射出一个更深层的矛盾：微软与美国军方存在合作，按理说应当高度重视网络安全。过去几年，Azure 接连曝出数起影响恶劣的黑客入侵事件，让微软首席执行官萨提亚·纳德拉颜面尽失。维系与善意白帽黑客的良好合作关系，本应是保护微软用户安全的核心举措。但如今，随着AI驱动的网络攻击日益频繁，微软对黑客及公开漏洞的人员态度反而愈发强硬。

针对“梦魇日蚀”的爆料，微软正式回应：

此次被曝光的六大漏洞——赤日、无御、蓝锤、黄钥、绿等离子、迷你等离子，均未按照规范流程进行负责任的披露。这些公开行为带来了不必要的安全风险，为此我们的安全团队已全天候开展工作，评估漏洞影响、保护用户安全并研发安全补丁。我们坚决反对此类行为。任何脱离正规协作流程、可能损害用户及整个网络生态的漏洞公开行为，都不为我们所接受。未经协调就将未修复漏洞的概念验证代码泄露给不法分子，无论如何都站不住脚，还会引发一系列现实危害。微软全体安全团队始终全力追踪企图利用这类漏洞攻击微软产品及用户的威胁势力。公司数字犯罪部门也会持续对相关人员及协助其开展非法活动的主体提起诉讼，并按需与全球各地执法部门展开协作。

这份声明一出，立刻激怒了众多安全研究员。因为它措辞严厉，隐约暗示：哪怕只是单纯公开漏洞，相关人员也会遭到追责。比如，前微软高级安全分析师凯文·博蒙特在资讯网站 DoublePulsar.com 上直言：“如果微软打算将不遵守其时常主观随意的‘负责任披露’规则的行为定性为犯罪，那他们在法庭上恐怕很难站稳脚跟。”

从法律层面看，美国宪法的言论自由条款会为“梦魇日蚀”的公开披露行为提供保护。但根据漏洞的获取方式，他也有可能违反《计算机欺诈与滥用法》。而博蒙特在《The Verge》的报道中，更是直指微软在这件事上尽显虚伪。

等等，现在制作、传播零日漏洞的概念验证利用程序也成了‘犯罪活动’？微软企业法律事务部到底是谁批准的这种表述？要知道，微软旗下的 GitHub 才是全球最大的零日漏洞传播平台。不遵守一套人为制定的‘负责任披露’流程，本身并不违法。除此之外，‘梦魇日蚀’的 GitHub 账号（归属微软）、微软合作平台 GitLab 账号均被封禁，他还在社交平台遭到人肉搜索，微软漏洞报告中心（MSRC）的账号也被停用。一个人被全面封杀后，又该如何继续‘按规范’上报后续漏洞？

更尴尬的是，博蒙特在同一篇文章中还提到，微软此前曾聘用过多名有公开记录、向俄罗斯、伊朗等敌对国家出售漏洞的安全研究员。“多年来，微软明知部分在职员工曾公开表示会向俄、伊等国售卖漏洞，却依旧留用。该公司向来有聘用这类人员的先例，其中甚至包括有黑客犯罪前科、以及公开泄露零日漏洞的人。”

微软体量庞大、业务遍布全球，自然难免成为个人黑客乃至国家级黑客势力的攻击目标。同时作为全球市值最高的企业之一，微软迫于华尔街压力，一心追求亮眼的财报，有时便会在安全环节偷工减料。软件出现漏洞本在所难免，但步入人工智能时代后，微软遭受网络攻击的频率还会呈指数级增长。当下这般刻意与安全研究员对立的做法，实在算不上明智。

就像博蒙特在文末所言：“倘若微软执意要将不遵从其主观制定的‘负责任披露’规则的行为入罪，这场官司他们很难打赢。因为微软过往一系列决策和背后的诸多事实，都会在庭审中被一一揭开。”