研究人員Chaotic Eclipse(Nightmare-Eclipse)疑似因不滿微軟的漏洞通報流程,從4月初開始公布一系列漏洞,包括:BlueHammer(CVE-2026-33825)、RedSun(CVE-2026-41091)、UnDefend(CVE-2026-45498)、YellowKey(CVE-2026-45585)、GreenPlasma,以及MiniPlasma。如今傳出微軟也採取行動,並發布公開聲明指責Chaotic Eclipse的行為。
5月27日微軟資安回應中心(MSRC)發布一篇部落格文章,指控上述漏洞被不負責任地公開,已帶來不必要的資安風險,他們堅決反對這些行為,特別強調他們的數位犯罪調查部門會持續對助長網路犯罪的人士與駭客提出訴訟,並視需要與全球執法機關進行協調。這樣的說法不禁讓人認為,微軟已經打算透過該部門和執法機構來對付Chaotic Eclipse。
值得留意的是,在不久之前,就傳出微軟已對Chaotic Eclipse採取行動。該研究人員先後在5月20日、23日透過部落格文章表示,他原本向微軟通報漏洞的帳號已遭到刪除,後續微軟又將他的GitHub帳號移除,認為微軟正在升級這次的衝突事件,研究人員已將相關儲存庫遷移到GitLab,並揚言將在7月14日採取行動,威脅要讓微軟「粉身碎骨」,並宣布他在GitLab建立的新帳號頁面。不過事隔數日,傳出GitLab在26日將Chaotic Eclipse的帳號移除(目前該頁面顯示此名用戶已被站方封鎖)。
究竟Chaotic Eclipse的身分為何?資安公司Barracuda指出有可能是微軟前員工,但不排除是承包商或外部研究員的可能,該公司指出,這名研究員展現的知識深度,代表他對微軟的程式碼基礎與架構了解程度,是內部人員級別的能力。資安新聞網站Cybernews指出,Chaotic Eclipse正變成資安研究人員眼中,遭到科技公司不公平對待的民間英雄。
微軟在部落格文章裡強調,他們邀集多元觀點,協助資安社群共同合作,以保護每一個人,並承諾該公司致力於透明,且持續創造對話機會。然而,Cybernews發現有多名研究人員對微軟的說法抱持懷疑,紛紛在網路上透露他們向微軟通報漏洞時遇到的挫折經驗,有人表示,通報5個月後,才收到微軟回覆表示「不符合服務水準」的拒絕處理通知,也有人表示,微軟起初不承認他們通報的漏洞,卻在一個月後完成修補。
