微软漏洞奖励计划年度回顾：1700万美元奖金创历史新高

我们很高兴地分享，今年微软漏洞奖励计划已向来自59个国家的344名安全研究人员发放了1700万美元奖金，这是该计划历史上颁发的最高奖金总额。

通过与微软安全响应中心（MSRC）的密切合作，这些安全研究人员帮助识别并解决了超过一千个潜在漏洞，加强了全球微软客户的防护能力。

微软漏洞奖励计划是我们主动安全方法的关键组成部分。通过激励独立研究人员在高影响领域（包括快速发展的AI领域）识别漏洞，我们能够领先于新兴威胁。通过协调漏洞披露，这些研究人员在加强数百万用户对微软技术日常信任方面发挥着关键作用。

微软的奖励计划涵盖广泛的微软产品和服务组合，包括Azure、Microsoft 365、Dynamics 365、Power Platform、Windows、Edge、Xbox等。每个计划都设计了明确的范围、资格要求、奖励等级和提交指南，确保研究人员能够安全有效地为我们的共同使命——保护客户——做出贡献。

有关完整计划详情，请访问 https://aka.ms/bugbounty。

Zero Day Quest

四月份，微软安全响应中心在微软Zero Day Quest活动中欢迎了全球一些最有才华的安全研究人员，这是同类活动中规模最大的现场黑客竞赛。这项首届活动挑战安全社区专注于Copilot和云的最高影响安全场景。

该活动收到了600多个漏洞提交，在资格研究挑战和现场活动期间颁发了超过160万美元。

在资格赛阶段，研究人员提交了他们的作品，以获得亲自参加活动的机会，并在我们常规的错误赏金奖励之外获得额外激励。随后，一组精选的研究人员在雷德蒙德和线上进一步深入参与现场活动，他们在微软产品中参与夺旗挑战，参加社交活动，并与微软安全团队进行技术讨论。

近100名研究人员还参加了我们的培训课程，包括与我们的AI红队进行的AI漏洞挖掘、与我们的工程团队进行的SSRF培训，以及来自赏金团队的技巧和建议。

Zero Day Quest将每年回归，带来新的研究挑战、赏金乘数，以及微软产品工程团队、微软安全团队和安全研究社区之间更深入的合作。2026年研究挑战现已开放，现场黑客活动将于春季回归，为研究人员提供新的参与机会、获得奖励并共同推动安全进步。

奖励计划更新

随着微软威胁格局和产品生态系统的不断发展，微软漏洞奖励计划也在不断演进。我们定期调整我们的计划——扩大覆盖范围以包括新产品和服务，并完善研究重点以领先于新兴威胁和攻击技术。这种持续演进确保我们的奖励计划与最新安全挑战保持一致，并继续产生有意义的影响。

过去一年，该计划公开推出了以下内容：

• Copilot奖励计划扩展，整合了传统的在线服务漏洞Microsoft Vulnerability Severity Classification for Online Services、中等严重性问题以及Copilot for WhatsApp & Telegram
• 身份奖励计划范围扩展，包括保护企业账户的附加API和域
• Defender奖励计划范围扩展，包括Microsoft Defender for Identity（MDI）、Microsoft Defender for Office（MDO）和Microsoft Defender for Cloud Applications（MDA）
• M365奖励计划范围扩展，包括Viva Glint、Learning、Pulse和Feature Access Control
• Dynamics 365 & Power Platform奖励计划扩展奖项，包括AI奖励类别
• Windows奖励计划更新了远程持久DoS和本地沙箱逃逸场景的攻击场景奖励

奖励金额

奖励金额根据报告的漏洞的严重性和潜在影响，以及提交的清晰度、准确性和完整性确定。我们优先考虑对客户最重要的领域的奖励，鼓励在最重要的地方推动有意义的安全改进的研究。

展望未来，我们仍然致力于根据您的反馈不断发展我们的计划，以更好地保护客户。我们深深感谢全球安全研究社区在帮助保护数百万微软用户方面的持续合作和专业知识。

我们期待加强现有合作并欢迎新的贡献者，共同继续建设更安全的数字生态系统。

保持安全，狩猎愉快！

Madeline Eckert, Lynn Miyashita, Nyesha Harden

微软奖励团队