零日探索2025：$160万美元奖励漏洞研究

本月，微软安全响应中心（MSRC）在微软零日探索活动中迎来了全球一些最有才华的安全研究人员，这是同类活动中规模最大的现场黑客竞赛。首届活动挑战安全社区专注于Copilot和云的最高影响安全场景，潜在奖金高达400万美元。

我们很高兴分享，在资格研究挑战和现场活动期间，我们收到了600多份漏洞提交，并颁发了超过160万美元的奖金。我们的团队正在继续评估潜在漏洞并在必要时进行缓解。

在资格赛期间，研究人员提交了他们的作品，以获得亲自参加活动的机会，并赢得超出我们常规漏洞赏金奖励的额外激励。随后，一组精选的研究人员在雷德蒙德和线上深入参与了现场活动，他们在微软产品中进行了夺旗挑战，参加了社交活动，并与微软安全团队进行了技术讨论。

近100名研究人员还参加了我们的培训课程，包括与我们的AI红队进行AI漏洞狩猎、与我们的工程团队进行SSRF培训，以及赏金团队提供的技巧和建议。

继首届活动成功之后，今天我们做出两项关键投资，以深化与研究社区的合作关系：

• 所有Copilot赏金奖励的100%奖金乘数将保持活跃。这将通过为高影响力研究提供额外付款，继续激励AI研究。在我们的Copilot赏金计划页面上了解更多信息。
• 零日探索将每年回归，带来新的研究挑战、赏金乘数，以及微软产品工程团队、微软安全团队和安全研究社区之间更深入的合作。

零日探索是微软更广泛的漏洞赏金计划的一部分，该计划在2023年向负责任地报告漏洞并帮助我们在影响客户之前解决漏洞的研究人员颁发了超过1600万美元。虽然我们要求研究社区遵循协调漏洞披露（CVD），但我们也鼓励在缓解后公开撰写报告，以支持持续学习。作为我们安全未来倡议（SFI）和对透明度承诺的一部分，我们将为所有关键问题发布CVE。从这次及未来活动中学到的经验也将在微软内部共享，以帮助默认、设计和运营中改进云和AI安全性。您可以在我们最新的进展报告中阅读更多关于我们的安全未来倡议的信息。

我们期待与安全社区持续合作，共同努力提高每个人的安全标准。

Tom Gallagher
微软安全响应中心（MSRC）工程副总裁