微软漏洞赏金计划年度回顾：1660万美元奖励

我们很高兴地宣布，今年微软漏洞赏金计划通过与微软安全响应中心（MSRC）合作，已向来自55个国家的343名安全研究人员颁发了1660万美元的赏金奖励。每年我们共同识别超过一千个潜在安全问题，通过微软漏洞赏金计划保护我们的客户免受潜在威胁。

计划重要性

微软漏洞赏金计划是我们激励性研究计划主动策略的关键部分，旨在吸引外部研究社区合作保护客户免受安全威胁。这些计划鼓励研究人员发现高优先级攻击面中的漏洞，使微软能够在不断变化的安全环境中加强产品防护，特别是现在还包括人工智能领域。通过遵循协调漏洞披露，安全研究人员为增强数百万微软客户和用户日常依赖的安全性做出了重要贡献。

技术覆盖范围

我们的计划涵盖广泛的产品和服务，包括Azure、Edge、M365、Dynamics 365、Power Platform、Windows和Xbox等，每个计划都有具体的指南以确保有影响力且安全的研究。每个计划都有详细的范围、资格标准、奖励范围和提交指南，以指导研究人员进行有影响力的研究而不会造成意外损害。这些指南针对每个产品或领域的特定威胁模型量身定制。有关每个计划的详细信息，请访问微软漏洞赏金计划网站。

赏金计划更新

随着安全环境和微软攻击面的演变，微软漏洞赏金计划也在不断发展。无论是扩大范围以覆盖新的微软产品和服务，还是调整研究目标以防范恶意行为者和新型攻击向量，微软漏洞赏金计划都在持续进行计划增强。

过去一年中，该计划公开推出了以下内容：

• 微软AI赏金计划
• 微软身份赏金计划范围扩展至包含身份验证器应用程序
• 微软365 Insider计划范围扩展至包含Microsoft OneNote、未经身份验证的非沙箱代码执行（无需用户交互场景）奖励和安全功能绕过
• 微软Defender赏金计划启动
• Dataverse集成研究资助，针对跨租户信息泄露和权限提升漏洞
• Windows赏金计划安全启动限时赏金奖励
• Dataverse集成研究资助，针对跨租户信息泄露和权限提升漏洞

奖励标准

赏金奖励基于漏洞的严重性和安全影响，以及报告的完整性和准确性。奖励也与对我们客户最重要的领域保持一致，以鼓励在这些高影响领域进行研究。

在未来一年，我们将根据您的反馈继续改进我们的计划。我们感谢全球安全研究社区的持续合作，并分享他们的专业知识以帮助保护数百万微软客户的安全。

我们期待加强与全球研究社区的现有关系并建立新的联系。

保持安全，狩猎愉快！

Madeline Eckert、Bruce Robinson和Lynn Miyashita

微软赏金团队