前情回顾·漏洞奖励计划动态
安全内参8月11日消息,过去一年,微软通过其漏洞赏金计划,向来自59个国家的344名安全研究人员支付了创纪录的1700万美元(约合人民币1.22亿元)赏金。
从2024年7月至2025年6月,这些研究人员共提交了1469份符合条件的漏洞报告,其中单笔最高赏金高达20万美元(约合人民币143.6万元)。
这些报告帮助微软修复了多个产品和平台中超过1000个潜在安全漏洞,涉及Azure、Microsoft 365、Dynamics 365、Power Platform、Windows、Edge和Xbox等。
微软在其年度漏洞赏金计划回顾中表示:“通过激励独立研究人员在高影响力领域,特别是迅速发展的AI领域中发现漏洞,我们得以领先应对新兴威胁。”
微软指出:“借助协调漏洞披露,这些研究人员在增强全球数百万用户对微软技术的信任方面发挥了关键作用。”
在前一个统计年度,微软也曾向来自55个国家的343名安全研究人员支付了总额为1660万美元的漏洞赏金。
漏洞赏金计划更新
今年,微软进一步扩展了多个漏洞赏金计划,涵盖Copilot AI、Defender产品及多种身份管理系统。
例如,Copilot漏洞赏金计划如今已纳入传统在线服务漏洞类别;Dynamics 365与Power Platform赏金计划则新增了针对AI漏洞的新类别;而Windows赏金计划则引入了对远程拒绝服务攻击和本地沙盒逃逸场景的奖励。
此外,身份管理相关的赏金计划现已覆盖更多API与域名;Defender赏金计划则扩展至Microsoft Defender for Identity(MDI)、Microsoft Defender for Office(MDO)及Microsoft Defender for Cloud Applications(MDA)。
近期,微软宣布提高对中等严重程度的Microsoft Copilot(AI)漏洞的赏金额度,其中部分.NET与ASP.NET Core漏洞的奖金上调至4万美元,Power Platform与Dynamics 365中的AI漏洞赏金额度也有所提高。
上周一,微软还宣布将在今年的“零日任务”(Zero Day Quest)黑客竞赛中提供最高达500万美元的漏洞赏金,并称其为“有史以来规模最大的黑客赛事”。
参考资料:https://www.bleepingcomputer.com/news/microsoft/microsoft-pays-record-17-million-in-bounties-over-the-last-12-months/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
