赏金创新高：微软近 12 个月内掏 1700 万美元悬赏漏洞，最高单笔 20 万

当地时间周二，微软宣布该公司过去 12 个月以来已向来自全球 59 个国家的 344 名安全研究人员发放了 1700 万美元（ 现汇率约合 1.22 亿元人民币），这也是微软赏金计划史上发放的最高数额（去年 1660 万美元）。

同期，全球研究者向微软提交了 1469 份符合条件的漏洞报告，涉及 Azure、M365、Dynamics 365、Power Platform、Windows、Edge 及 Xbox 等产品与平台的 1000 多个潜在安全漏洞，其中最高的单笔赏金达到了 20 万美元。

微软在年度回顾中表示：“通过激励独立研究者识别高影响领域（包括快速发展的 AI 领域）的漏洞，我们能够领先于新兴威胁。”“通过协同漏洞披露，这些研究者在巩固数百万用户对微软技术的信任方面发挥着关键作用。”

今年，微软扩展了多个赏金计划的覆盖范围，包括 Copilot AI、Defender 产品及身份管理系统：

• Copilot 赏金计划新增传统在线服务漏洞类别；Dynamics 365 与 Power Platform 计划引入 AI 类别；Windows 计划增加远程拒绝服务攻击及本地沙箱逃逸场景的奖励。

• 身份赏金计划覆盖更多 API 与域名；Defender 计划纳入微软 Defender for Identity（MDI）、微软 Defender for Office（MDO）及微软 Defender for Cloud Applications（MDA）。

本周一，微软还宣布将在今年的 Zero Day Quest 黑客竞赛中提供最高 500 万美元（现汇率约合 3594.1 万元人民币）的赏金奖励，称其为“史上最大规模的黑客活动”。