微软让步，撤回对白帽黑客的法律威胁

IT之家 6 月 7 日消息，据科技媒体 Notebookcheck 今天报道，在全球网络安全行业人士的强烈反对之下，微软已正式收回此前针对白帽黑客“梦魇日蚀（Nightmare Eclipse）”的强硬法律威胁。

据报道，“梦魇日蚀”曾在此前绕过微软的传统漏洞提交流程，直接公开了多个 Windows 高危漏洞代码。该研究项目曾成功利用多个影响 Windows 核心防御机制的零日漏洞，涵盖 BlueHammer 本地提权漏洞链、针对 Defender 的 RedSun 工具。

微软数字犯罪部门最初对此采取强硬法律行动，封禁了“梦魇日蚀”的 GitHub、GitLab 账号，引发安全领域专家批评。许多人士认为，利用法律手段打压白帽黑客会导致防御性安全研究停滞不前，让真实网络环境更容易遭到恶意攻击者威胁。

微软在最新政策更新中表示：“我们无意对从事合法漏洞研究工作的个人采取法律行动”。并完全停止此前备受争议的“负责任披露”机制，回归传统的“协调披露（IT之家注：CVD）”框架。该公司同时承认，近期部分自动化平台的执法措施远未达到社区期待，并承诺未来将以善意合作的方式处理漏洞报告。

虽然微软已经让步，但“梦魇日蚀”暂未积极回应和解信号。他表示，目前已有多个独立漏洞开发者选择绕开企业提交流程，直接将未修复的安全漏洞提交给他们。

此外，“梦魇日蚀”还表示，他将在未来几周内公开全新漏洞利用代码，号称能够在虚拟机环境中绕过 BitLocker 硬件加密保护机制。