微软宣布，今年的“零日任务”（Zero Day Quest）黑客竞赛奖金池将增至500万美元（约合人民币3594万元）。该公司表示，这是“有史以来规模最大的黑客赛事”。

在2024年11月举行的上一届“零日任务”竞赛中，微软为其云服务和AI产品平台的漏洞提供了总额400万美元的奖金，成功吸引了安全社区的广泛参与。竞赛结束后，微软共收到了600多份漏洞报告，并已支付奖金160万美元。

奖金池500万美元，高影响漏洞额外奖励

在今年的竞赛中，微软将奖金池上调至500万美元，聚焦于云计算和AI领域的安全问题。

从2025年8月4日至10月4日，微软将面向全球安全研究人员开展一次研究挑战活动，接受各类漏洞提交。参与者在报告关键漏洞时，还将获得额外奖励加成。

微软表示：“为表彰和奖励最具影响力的研究成果，我们将对在本次研究挑战中发现的关键严重漏洞及高影响场景提供50%的额外奖金加成。前提是这些发现符合微软Azure、Copilot、Dynamics 365、Power Platform、Identity或M365漏洞悬赏计划中现行或过往的要求。如一项提交同时符合一般加成和高影响加成条件，将以较高标准发放奖金。”

表现最突出的研究人员将有资格参加2026年春季在微软雷德蒙德园区举办的现场黑客活动。该活动为仅限受邀参与的竞赛，届时顶尖安全研究人员将有机会与微软安全响应中心及各产品团队进行面对面协作。

此外，微软还计划通过AI红队、微软安全响应中心及Dynamics团队，面向参赛者提供培训支持，内容涵盖AI系统测试、漏洞悬赏机制及安全研究方法等方面。

微软持续改进产品网络安全

此次竞赛是微软“安全未来计划”（SFI）的一部分。该计划于2023年11月启动，是一项源自美国国土安全部下属网络安全审查委员会发布报告的网络安全工程举措。该报告指出，微软的安全文化“存在不足，亟需全面改革”。

微软强调：“作为‘安全未来计划’的一环，即便不需要客户主动采取行动，我们仍会通过CVE项目公开披露关键漏洞。‘零日任务’所获得的经验也将在公司内部共享，以推动云计算与AI安全性的提升，并贯彻SFI的三大核心原则：默认安全、设计安全、运营安全。”

7月31日，微软曾宣布，部分.NET与ASP.NET Core漏洞的悬赏金额现已提高至4万美元，同时扩展了.NET漏洞悬赏计划的覆盖范围。

今年早些时候，微软亦宣布将Power Platform和Dynamics 365中AI相关漏洞的奖金提高至3万美元，并对Microsoft Copilot中中等严重程度的安全漏洞提供更高额的奖励。为进一步鼓励AI安全研究，所有Copilot漏洞现已引入100%的奖金加成机制。

参考资料：https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-5-million-prize-pool-for-zero-day-quest-hacking-contest/

声明：本文来自安全内参，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。

翻译图片

显示原图

翻译为

中文

英文

复制译文

下载图片