تواجه شركة Microsoft انتقادات حادة من باحثين وخبراء في مجالي الأمن السيبراني، وذلك إثر تلويحها باتخاذ إجراءات قانونية والتنسيق مع جهات إنفاذ القانون ضد باحث أمني نشر تفاصيل ثغرات أمنية غير مصححة في منتجات الشركة، مدعومة بأكواد استغلال تجريبية.
يتمحور هذا الخلاف حول باحث ينشط تحت الاسم المستعار “Nightmare Eclipse”، حيث نشر خلال الأسابيع الأخيرة سلسلة من الثغرات الأمنية التي شملت BlueHammer وRedSun وUnDefend وYellowKey، والتي تؤثر في مكونات حيوية مثل Microsoft Defender وأداة تشفير الأقراص BitLocker.
من جانبها، أوضحت شركة Microsoft في بيان أصدره مركز الاستجابة الأمنية التابع لها (MSRC) يوم الأربعاء 27 مايو 2026، أن هذه الثغرات لم يتم الإبلاغ عنها عبر قنوات الإفصاح المنسق المعتمدة قبل طرحها للعلن. واعتبرت الشركة أن نشر التفاصيل التقنية وأكواد الاستغلال بشكل علني قد وضع العملاء والمنظومة الرقمية بأكملها أمام مخاطر غير مبررة. كما أكدت الشركة أن وحدة الجرائم الرقمية التابعة لها ستواصل ملاحقة الجهات التي تسهل الأنشطة الإجرامية قضائياً، وذلك بالتنسيق مع جهات إنفاذ القانون عند الاقتضاء.
وقد أثار هذا الموقف ردود فعل حادة ومستهجنة داخل مجتمع الأمن السيبراني، حيث رأى منتقدون أن الصياغة التي استخدمتها Microsoft يمكن تفسيرها كتهديد مباشر للباحثين الأمنيين، لا سيما مع توظيف مصطلح “الإفصاح المسؤول” وربطه بتبعات جنائية محتملة. وفي هذا السياق، نقل موقع TechCrunch عن كاتي موسوريس، مؤسسة شركة Luta Security وإحدى الشخصيات التي أسهمت سابقاً في تطوير برامج مكافآت الثغرات داخل Microsoft، قولها إن الإشارة إلى وحدة الجرائم الرقمية تُعد خطوة مبالغاً فيها، ومن شأنها أن تفقد الباحثين الثقة في الشركة.
وفي المقابل، تؤكد Microsoft أن جوهر اعتراضها لا يتمحور حول اكتشاف الثغرات في حد ذاته، بل يكمن في آلية نشرها علناً قبل منح الشركة فرصة كافية لتقييم أثرها وتطوير التحديثات الأمنية اللازمة. وأشارت إلى أن بعض الثغرات التي كُشف عنها قد استُغلت بالفعل في هجمات واقعية، ما يضع هذه القضية في منطقة رمادية حساسة تفصل بين حق الباحثين في كشف المخاطر، وضرورة الحد من فرص استغلال أطراف خبيثة لها.
من جهة أخرى، لفت تقرير آخر إلى أن هذا الخلاف قد تحول إلى أزمة أوسع نطاقاً تؤثر في طبيعة العلاقة بين Microsoft والباحثين المستقلين. ويتواصل الجدل حالياً حول ما إذا كانت الشركة قد تعاملت بصرامة مفرطة مع باحث قدم إثباتات استغلال علمية، أم أنها تحركت بدافع حماية مستخدميها من تفاصيل تقنية خطيرة يمكن تحويلها سريعاً إلى أدوات هجومية مدمرة.
وتعيد هذه القضية إلى الواجهة نقاشاً تقنياً وقانونياً قديماً يتعلق بمفهوم الإفصاح المنسق عن الثغرات الأمنية؛ إذ تعتمد الشركات التكنولوجية الكبرى بشكل وثيق على جهود الباحثين المستقلين لرصد العيوب البرمجية قبل أن يستغلها المهاجمون، لكنها تشترط بالتوازي إرجاء النشر العلني حتى إتاحة الإصلاحات الأمنية. وعندما تنهار منظومة التنسيق هذه، يجد المستخدمون أنفسهم في مواجهة خطرين متزامنين، خطر الثغرات المكشوفة دون وجود تصحيحات برمجية، وخطر تراجع ثقة مجتمع الباحثين في قنوات الإبلاغ الرسمية.
