3600萬元獎金池重金求洞!微軟推出最大安全眾測項目
責編:gltian |2025-08-07 14:36:41微軟宣布,今年的“零日任務”(Zero Day Quest)黑客競賽獎金池將增至500萬美元(約合人民幣3594萬元)。該公司表示,這是“有史以來規模最大的黑客賽事”。
在2024年11月舉行的上一屆“零日任務”競賽中,微軟為其云服務和AI產品平臺的漏洞提供了總額400萬美元的獎金,成功吸引了安全社區的廣泛參與。競賽結束后,微軟共收到了600多份漏洞報告,并已支付獎金160萬美元。
獎金池500萬美元,高影響漏洞額外獎勵
在今年的競賽中,微軟將獎金池上調至500萬美元,聚焦于云計算和AI領域的安全問題。
從2025年8月4日至10月4日,微軟將面向全球安全研究人員開展一次研究挑戰活動,接受各類漏洞提交。參與者在報告關鍵漏洞時,還將獲得額外獎勵加成。
微軟表示:“為表彰和獎勵最具影響力的研究成果,我們將對在本次研究挑戰中發現的關鍵嚴重漏洞及高影響場景提供50%的額外獎金加成。前提是這些發現符合微軟Azure、Copilot、Dynamics 365、Power Platform、Identity或M365漏洞懸賞計劃中現行或過往的要求。如一項提交同時符合一般加成和高影響加成條件,將以較高標準發放獎金。”
表現最突出的研究人員將有資格參加2026年春季在微軟雷德蒙德園區舉辦的現場黑客活動。該活動為僅限受邀參與的競賽,屆時頂尖安全研究人員將有機會與微軟安全響應中心及各產品團隊進行面對面協作。
此外,微軟還計劃通過AI紅隊、微軟安全響應中心及Dynamics團隊,面向參賽者提供培訓支持,內容涵蓋AI系統測試、漏洞懸賞機制及安全研究方法等方面。
微軟持續改進產品網絡安全
此次競賽是微軟“安全未來計劃”(SFI)的一部分。該計劃于2023年11月啟動,是一項源自美國國土安全部下屬網絡安全審查委員會發布報告的網絡安全工程舉措。該報告指出,微軟的安全文化“存在不足,亟需全面改革”。
微軟強調:“作為‘安全未來計劃’的一環,即便不需要客戶主動采取行動,我們仍會通過CVE項目公開披露關鍵漏洞。‘零日任務’所獲得的經驗也將在公司內部共享,以推動云計算與AI安全性的提升,并貫徹SFI的三大核心原則:默認安全、設計安全、運營安全。”
7月31日,微軟曾宣布,部分.NET與ASP.NET Core漏洞的懸賞金額現已提高至4萬美元,同時擴展了.NET漏洞懸賞計劃的覆蓋范圍。
今年早些時候,微軟亦宣布將Power Platform和Dynamics 365中AI相關漏洞的獎金提高至3萬美元,并對Microsoft Copilot中中等嚴重程度的安全漏洞提供更高額的獎勵。為進一步鼓勵AI安全研究,所有Copilot漏洞現已引入100%的獎金加成機制。
參考資料:https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-5-million-prize-pool-for-zero-day-quest-hacking-contest/
顯示原圖
翻譯為
復制譯文
下載圖片