一位名为 Nightmare-Eclipse（又称 Chaotic Eclipse）的安全研究人员日前被微软封禁了 GitHub 账号，同时其用于报告漏洞的 Microsoft 账户也遭到删除，被迫转移至 GitLab。这一事件在安全研究社区引发强烈反响，Eclipse 本人更公开指控微软的行为是"报复性"的，并暗示将在 7 月 14 日做出"清算"。

事件始末

Eclipse 是一位长期参与微软漏洞赏金计划的安全研究员。据其自述，在多年向微软报告零日漏洞后，收到的报酬是"零美分"——尽管微软的 MSRC 计划对终端零日漏洞的悬赏高达 3 万至 10 万美元，对 Hyper-V 漏洞的最高悬赏更可达 25 万美元。Eclipse 声称，微软不仅拒绝与其进行任何沟通，还直接封禁了其账户并删除了其报告漏洞所用的 Microsoft 账号。

封禁后，Eclipse 在博客发表文章，详细披露了这一事件的经过，并暗示已经掌握了六个零日漏洞。文中的一句话引发关注："7 月 14 日将给微软带来清算。"这被普遍解读为某种形式的公开警示或威慑声明。

争议焦点：报复性执法的边界

此事的争议核心在于：安全研究人员披露软件漏洞的行为，是否可以成为平台封禁其账户的理由？支持者的论点是，漏洞披露是网络安全的重要组成部分，没有安全研究人员的主动披露，大量严重漏洞将被埋藏，对最终用户造成更大危害。封禁这样的研究人员，本质上是在惩罚对公共安全有益的行为。

而反对者——或者说质疑者——则会指出，如果 Eclipse 真的在未授权情况下公开了尚在修复中的零日漏洞，这本身就违反了大多数漏洞赏金计划的条款和条件。问题的关键在于证据和程序：微软是否向 Eclipse 提供了充分的沟通机会？封禁措施是否经过了适当的内部审查？

更深层的问题：漏洞市场的激励失效

这起事件暴露了当前漏洞赏金机制的一个根本性矛盾：平台和厂商在规则制定上是既当裁判员又当运动员的。微软一方面运营着全球最大的代码托管平台之一，另一方面又是安全漏洞的潜在"受害方"和赏金计划的管理者。当赏金金额与漏洞实际市场价值之间存在巨大鸿沟时，研究人员是否有权将漏洞转售给其他买家——这是一个悬而未决的行业伦理问题。

Eclipse 在失去正常渠道后的反应（封禁、删除账户、转移至竞品平台），以及随之而来的"7 月 14 日"警告，是否构成对微软的"报复"，取决于其最终披露的内容性质。如果届时披露的是已经在野被利用的漏洞，那将不仅是法律层面的争议，更可能演变为公共安全危机。

无论如何，这起事件再次提醒整个行业：安全研究需要透明、公正和响应迅速的正反馈机制，而不是让研究人员在漫长的等待后得到"零美分"和沉默。

参考来源：

https://www.tomshardware.com/tech-industry/cyber-security/microsofts-github-bans-security-researcher-who-posted-zero-day-windows-exploits-because-company-ruined-their-life-expert-claims-action-is-vindictive-and-promises-further-retaliation

https://deadeclipse666.blogspot.com/2026/05/july-14th.html