微软漏洞赏金计划年度回顾：1700万美元奖励

我们很高兴分享，今年微软漏洞赏金计划已向来自59个国家的344名安全研究人员发放了1700万美元奖金，这是该计划历史上颁发的最高奖金总额。

通过与微软安全响应中心（MSRC）的密切合作，这些安全研究人员帮助识别并解决了超过一千个潜在漏洞，增强了全球微软客户的防护能力。

微软漏洞赏金计划是我们主动安全方法的关键组成部分。通过激励独立研究人员在高影响领域（包括快速发展的AI领域）识别漏洞，我们能够领先于新兴威胁。通过协同漏洞披露，这些研究人员在巩固数百万用户对微软技术的日常信任方面发挥着关键作用。

微软的赏金计划涵盖广泛的微软产品和服务组合，包括Azure、Microsoft 365、Dynamics 365、Power Platform、Windows、Edge、Xbox等。每个计划都设计了明确的范围、资格要求、奖励等级和提交指南，确保研究人员能够安全有效地为我们的共同使命——保护客户——做出贡献。

有关完整计划详情，请访问 https://aka.ms/bugbounty。

零日探索活动

四月份，微软安全响应中心在微软零日探索活动中欢迎了全球一些最有才华的安全研究人员，这是同类活动中规模最大的现场黑客竞赛。这一首创活动挑战安全社区专注于Copilot和云的最高影响安全场景。

该活动收到了600多个漏洞提交，在资格研究挑战和现场活动期间颁发了超过160万美元奖金。

在资格赛阶段，研究人员提交了他们的工作，以获得亲自参加活动的机会，并在常规漏洞赏金奖励之外获得额外激励。随后，一组精选的研究人员在雷德蒙德和线上进一步深入参与现场活动，他们在微软产品中参与夺旗挑战，参加社交活动，并与微软安全团队进行技术讨论。

近100名研究人员还参加了我们的培训课程，包括与我们的AI红队进行AI漏洞搜寻、与我们的工程团队进行SSRF培训，以及赏金团队提供的技巧和建议。

零日探索活动将每年回归，带来新的研究挑战、赏金乘数，以及微软产品工程团队、微软安全团队和安全研究社区之间更深入的合作。2026年研究挑战现已开放，现场黑客活动将于春季回归，为研究人员提供新的参与机会、获得奖励并共同推进安全进步。

赏金计划更新

随着微软威胁格局和产品生态系统的不断发展，微软漏洞赏金计划也在不断演进。我们定期调整我们的计划——扩大覆盖范围以包含新产品和服务，并完善研究重点以领先于新兴威胁和攻击技术。这种持续演进确保我们的赏金计划与最新安全挑战保持一致，并继续产生有意义的影响。

过去一年，该计划公开推出了以下内容：

• Copilot赏金计划扩展，整合了传统的在线服务漏洞微软漏洞严重性分类、中等严重性问题以及Copilot for WhatsApp & Telegram
• Identity赏金计划范围扩展，包含保护企业账户的额外API和域
• Defender赏金计划范围扩展，包含Microsoft Defender for Identity（MDI）、Microsoft Defender for Office（MDO）和Microsoft Defender for Cloud Applications（MDA）
• M365赏金计划范围扩展，包含Viva Glint、Learning、Pulse和功能访问控制
• Dynamics 365 & Power Platform赏金计划扩展奖励，包含AI赏金奖励类别
• Windows赏金计划攻击场景奖励更新了远程持久DoS和本地沙箱逃逸场景

赏金奖励

赏金奖励根据报告的漏洞的严重性和潜在影响，以及提交的清晰度、准确性和完整性确定。我们优先考虑对客户最重要的领域的奖励，鼓励在最有价值的地方推动有意义的安全改进的研究。

展望未来，我们仍然致力于根据您的反馈不断发展我们的计划，以更好地保护客户。我们深深感谢全球安全研究社区在帮助保护数百万微软用户方面的持续合作和专业知识。

我们期待在继续共同构建更安全的数字生态系统时，加强现有合作并欢迎新的贡献者。

保持安全，狩猎愉快！

Madeline Eckert, Lynn Miyashita, Nyesha Harden

微软赏金团队