今天，微软在伊利诺伊州芝加哥市举办的 Ignite 年度大会上宣布，推出专注于云和AI产品和平台的漏洞奖励新计划：Zero Day Quest。

Zero Day Quest 从今天起生效，共分两部分：研究挑战和在华盛顿州雷德蒙德举办的2025年现场黑客大赛（受邀制）。研究人员如能从特定场景中找到并提交漏洞，则可获得多倍奖励，所有人均可参加，持续时间是2024年11月19日至2025年1月19日。按照漏洞奖励排名，最高的45名安全研究员将被邀请参加现场黑客大赛。

微软指出，为了进一步提升AI安全，将为报送AI漏洞的安全研究员提供双倍奖励，同时为他们提供与 Microsoft AI 工程师及其AI红队直接交流的机会。微软安全响应中心 (MSRC) 的工程副总裁 Tom Gallagher 表示，“这个新的黑客活动将是同类规模最大的赛事，影响较高的漏洞研究尤其是在云和AI领域的研究将获得400万美元的奖励。Zero Day Quest 将为安全社区提供新的与微软工程师和安全研究人员合作的机会，汇聚安全最强大脑，分享、学习和构建社区，保护每个人的安全。”

Zero Day Quest是微软安全未来计划 (SFI)的一部分。该计划在2023年11月推出，旨在提升产品的网络安全防御能力，以应对美国国土安全部网络安全审查委员会发布的一份言辞严厉的报告。该报告提到微软的“安全文化不当，需要彻底检查”。

此前，微软多款产品遭攻击如基于云的 Exchange 邮件平台等。影响微软其它产品和平台的漏洞也被用于广泛的攻击活动中。如近几年来，很多威胁行动者（包括勒索团伙）滥用 ProxyShell、ProxyNotShell和 ProxyLogon 漏洞攻击暴露在互联网的数万台 Exchange 服务器。

Gallagher 表示，“作为SFI的一部分，我们将通过CVE项目毫无保留地共享严重漏洞，即使这些漏洞无需客户进行任何操作。从Zero Day Quest获取到的信息也会在微软内部共享，从默认、涉及和运营中提升云和AI的安全性。”

今天，微软还共享了这一新的管理员防护安全特性的更多信息。该特性位于 Windows 11 设备预览中，旨在通过使用额外的 Windows Hello 认证提示词，拦截对关键系统资源的访问权限。

微软企业和OS安全副总裁 David Weston 表示，“自从推出SFI以来，我们的3.4万名全职工程师一直在处理优先级最高的安全挑战。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~