隔三差五的系统更新,恐怕是Windows用户最头疼的问题之一。网上那些“如何永久关闭系统更新”的教程,搜索热度始终居高不下。当然,微软像家长一样反复催促更新,背后自有道理——每一次更新都包含实打实的安全补丁,用于修复系统漏洞、降低恶意软件攻击的风险,这是保障Windows系统安全的基本防线。

经常关注安全资讯的人,对这类新闻应该不陌生:“某公司被曝在某某软件上存在漏洞,导致XX人或设备受影响”。Windows本身是一个庞大的超级工程,仅靠微软自家的工程师,想及时排查所有漏洞几乎不可能。因此,引入外部力量成为必然选择——著名的微软漏洞赏金计划(Microsoft Bug Bounty Program)也就应运而生。
01
自2013年启动以来,微软已向70个国家的数千名安全研究者发放了超过6000万美元的奖金。但就在最近,这个运行多年的赏金计划却出了状况。微软封禁了安全研究员Nightmare-Eclipse(又称Chaotic Eclipse)的GitHub账户,且未给出明确解释。该研究员认为微软这是在打击报复,并计划于7月14日公布更多零日漏洞作为反击。
他在博客中将微软描述得蛮横霸道、欺人太甚,声称微软拒绝沟通、未支付漏洞赏金,还威胁要“毁了他的生活”,甚至他用来报告漏洞的微软账号也被一并删除。问题来了:作为跨国巨头,微软为什么要跟一个普通研究员过不去?

事实上,Nightmare-Eclipse与微软的纠葛始于今年4月。他没有走微软的协同漏洞披露(CVD)流程,而是直接在GitHub公开了一个Windows本地提权零日漏洞,代号BlueHammer。该漏洞的核心是TOCTOU(检查时与使用时不一致)问题,一旦利用成功,就能获取系统SYSTEM权限。
对Windows熟悉的人都知道——SYSTEM权限意味着系统最高级别的安全权限。一旦易主,你的电脑可能就不再属于你。既然BlueHammer如此致命,Nightmare-Eclipse作为安全专家,自然也不是鲁莽行事。按照他的说法,是微软安全响应中心(MSRC)的响应流程过于僵化,“令他反感至极”。

02
说白了,这其实就是一个现代版的“羊斟惭羹”故事。民间大神不满微软对高危漏洞的漫不经心,决定自行公开漏洞,倒逼对方重视。结果微软不仅不领情,反而对这位大神“痛下杀手”。当然,微软也有自己的道理:他们有专门的协同漏洞披露框架,跳过标准流程、擅自公开漏洞,意味着漏洞在修复之前就已暴露在攻击者面前,风险不可控。
那么,一个曾经运行良好的安全响应中心,怎么就变得流程僵化了呢?不少从业者给出了同一个答案:AI主导的“降本增效”,恐怕才是主因。
微软、苹果、谷歌这些巨头,都建立了向“赏金猎人”发放不菲报酬的机制。AIGC问世之后,就有人开始用AI生成虚假漏洞报告骗取赏金,搞得整个系统乌烟瘴气。

为了应对这种情况,这些公司选择了用AI来治AI。例如,微软在两年前推出了基于自有安全模型的生成式AI解决方案——Microsoft Security Copilot,号称能帮助防御方快速发现漏洞。安全人员可以让它生成漏洞摘要,向它“投喂”文件、网址或代码片段进行分析,甚至能要求它整合其他安全工具的警报信息。
当Microsoft Security Copilot介入微软安全响应中心后,微软为了节省成本,解雇了不少资深人员。接下来的事情就不难想象了——AI在网络安全这种敏感、且极度依赖经验的领域,表现并不尽如人意。结果就是安全响应中心直接陷入“链条阻塞”状态,工作效率大打折扣。

如果微软接下来不做出改变,第二个、第三个Nightmare-Eclipse恐怕迟早会出现。到那时,Windows面临的安全风险会被放大无数倍——毕竟,民间大神自行公开漏洞,可不会给微软留出缓冲时间。
