微软漏洞赏金计划年度回顾：发放1700万美元奖励

我们很高兴地分享，今年，微软漏洞赏金计划已向来自59个国家的344名安全研究人员发放了1700万美元，这是该计划历史上颁发的最高赏金总额。

通过与微软安全响应中心（MSRC）的密切合作，这些安全研究人员帮助识别并解决了超过一千个潜在漏洞，增强了全球微软客户的保护。

微软漏洞赏金计划是我们主动安全方法的关键部分。通过激励独立研究人员在高影响领域（包括快速发展的AI领域）发现漏洞，我们能够领先于新兴威胁。通过协调漏洞披露，这些研究人员在为微软技术每天赢得的数百万用户的信任中发挥着关键作用。

微软的赏金计划涵盖广泛的微软产品和服务组合，包括Azure、Microsoft 365、Dynamics 365、Power Platform、Windows、Edge、Xbox等。每个计划都设计了明确的范围、资格要求、奖励等级和提交指南——确保研究人员能够安全有效地为我们保护客户的共同使命做出贡献。

有关完整计划详情，请访问 https://aka.ms/bugbounty。

零日探索

今年四月，微软安全响应中心在微软“零日探索”活动中迎来了一些世界上最有才华的安全研究人员，这是同类活动中规模最大的现场黑客竞赛。这项首届活动挑战安全社区聚焦于Copilot和云的最高影响安全场景。

该活动收到了超过600份漏洞提交，并在资格研究挑战赛和现场活动期间颁发了超过160万美元。

在资格赛阶段，研究人员提交了他们的工作，以获得亲临现场参加活动的机会，并赚取超出我们常规漏洞赏金奖励的额外激励。随后，一组精选的研究人员在雷德蒙德和线上深入参与了现场活动，他们在微软产品中进行夺旗挑战，参加社交活动，并与微软安全团队进行技术讨论。

近100名研究人员还参加了我们的培训课程，包括与我们的AI红队进行的AI漏洞挖掘、与工程团队进行的SSRF培训，以及赏金团队提供的技巧和建议。

“零日探索”将每年回归，带来新的研究挑战、赏金倍增器，以及微软产品工程团队、微软安全团队和安全研究社区之间更深入的合作。2026年研究挑战现已开放，现场黑客活动将于春季回归，为研究人员提供新的参与、赚取奖励和共同推进安全的机会。

赏金计划更新

随着微软的威胁形势和产品生态系统不断演变，微软漏洞赏金计划也在不断发展。我们定期调整我们的计划——扩大覆盖范围以纳入新产品和服务，并完善研究优先级以领先于新兴威胁和攻击技术。这种持续的演变确保了我们的赏金计划与最新的安全挑战保持一致，并持续产生有意义的影响。

过去一年，该计划公开推出了以下内容：

• Copilot漏洞赏金计划 扩展为集成了传统的在线服务漏洞（依据微软在线服务漏洞严重性分类）、中等严重性问题以及Copilot for WhatsApp & Telegram。这些变更旨在提升计划的有效性，激励更广泛的参与，并确保我们的Copilot消费者产品保持稳健、安全和可靠。
• 身份赏金计划 范围扩展，纳入了保护企业账户的额外API和域。
• Defender赏金计划 范围扩展，纳入了Microsoft Defender for Identity (MDI)、Microsoft Defender for Office (MDO) 和 Microsoft Defender for Cloud Applications (MDA)。
• M365赏金计划 范围扩展，纳入了Viva Glint、Learning、Pulse和功能访问控制。
• Dynamics 365 & Power Platform漏洞赏金计划 扩展了奖励，纳入了AI赏金奖励类别。
• Windows漏洞赏金计划 的远程持久性DoS和本地沙箱逃逸场景的攻击场景奖励进行了更新。

赏金奖励

赏金奖励根据报告的漏洞的严重性和潜在影响，以及提交的清晰度、准确性和完整性来确定。我们优先考虑对客户最重要的领域的奖励，鼓励在最关键的地方推动有意义安全改进的研究。

展望未来，我们仍然致力于根据您的反馈发展我们的计划，以更好地保护客户。我们深深感谢我们全球的安全研究人员社区，感谢他们在帮助保护数百万微软用户方面的持续合作和专业知识。

我们很高兴能够加强现有的合作，并欢迎新的贡献者，因为我们继续共同构建一个更安全的数字生态系统。

保持安全，狩猎愉快！

Madeline Eckert, Lynn Miyashita, Nyesha Harden

微软赏金团队