微软赏金计划年度回顾：1660万美元奖励

我们很高兴地宣布，今年微软赏金计划已向来自55个国家的343名安全研究者发放了1660万美元的赏金奖励，通过与微软安全响应中心(MSRC)的合作来保护微软客户。每年我们共同识别超过一千个潜在安全问题，通过微软赏金计划保护客户免受潜在威胁。

微软赏金计划是我们激励性研究计划主动策略的关键部分，旨在吸引外部研究社区合作保护客户免受安全威胁。这些计划鼓励研究者在高优先级攻击面上发现漏洞，使微软能够在不断变化的安全环境中（现在特别包括人工智能）加强产品防护。通过遵循协同漏洞披露，安全研究者为增强数百万微软客户和用户日常依赖的安全性做出了重要贡献。

我们的计划涵盖广泛的产品和服务，包括Azure、Edge、M365、Dynamics 365、Power Platform、Windows和Xbox等，每个计划都有特定指南以确保有影响力且安全的研究。每个计划都有详细的范畴、资格标准、奖励范围和提交指南，引导研究者进行有影响力的研究而不造成意外损害。这些指南针对每个产品或领域的特定威胁模型量身定制。有关每个计划的详细信息，请访问微软漏洞赏金计划网站。

赏金计划更新

随着安全环境和微软攻击面的演变，微软赏金计划也在不断发展。无论是扩大范围以涵盖新的微软产品和服务，还是调整研究目标以防范恶意行为者和新型攻击向量，微软赏金计划都在持续进行计划增强。

过去一年，该计划公开推出了以下内容：

• 微软AI赏金计划
• 微软身份赏金计划范围扩展至包含验证器应用程序
• 微软365内部计划范围扩展至包含Microsoft OneNote、无需用户交互的非沙盒代码执行奖励场景以及安全功能绕过
• 微软Defender赏金计划启动
• Dataverse集成研究资助，针对跨租户信息泄露和权限提升漏洞
• Windows赏金计划安全启动限时赏金奖励
• Dataverse集成研究资助，针对跨租户信息泄露和权限提升漏洞

赏金奖励

赏金奖励基于漏洞的严重性和安全影响，以及报告的完整性和准确性。奖励也与客户最关注的领域保持一致，以鼓励在这些高影响领域进行研究。

在未来一年，我们将根据您的反馈继续改进我们的计划。我们感谢全球安全研究社区的持续合作和分享专业知识，帮助保护数百万微软客户的安全。

我们期待加强与全球研究社区的现有关系并建立新的联系。

保持安全，狩猎愉快！

Madeline Eckert、Bruce Robinson和Lynn Miyashita 微软赏金团队