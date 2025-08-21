鉅亨網編譯段智恆 2025-08-21 00:00

《彭博》周三 (20 日) 援引知情人士消息報導，微軟 (MSFT-US) 近日調整旗下「主動防護計畫」(MAPP)，縮減中國參與廠商對於資安漏洞的提前知情權。這項舉措是在調查一起涉及 SharePoint 伺服器大規模駭侵事件後做出的，該攻擊行動已造成超過 400 個美國政府單位與企業遭殃，包括美國核子武器設計維護機構「國家核子安全局」。

微軟出手了！中國企業失去資安漏洞「搶先看」(圖：REUTERS/TPG)

微軟表示，未來在涉及「必須依法回報漏洞予政府」的國家，相關企業將不再取得完整的技術細節與「概念驗證」(proof-of-concept) 程式碼，而僅能在修補程式釋出當下獲得一般性書面描述。此舉將直接影響至少十多家中國科技與資安公司。

涉嫌洩密疑雲引爆改革

微軟的 MAPP 原意在於提前向防毒軟體與資安廠商透露產品漏洞，協助他們及早更新防護。然而近年多起駭侵行動讓微軟懷疑合作單位可能存在洩密。

微軟並未公開確認 SharePoint 攻擊是否與中國合作夥伴洩漏有關，但指出已存在「多種可能原因」的研判。過去早有前例：2012 年微軟就曾指控杭州迪普科技違反協議，洩漏 Windows 重大漏洞；2021 年更懷疑至少兩家中國 MAPP 合作夥伴洩漏了 Exchange 伺服器漏洞，進而引發全球性駭攻，並歸咎於中國間諜組織「Hafnium」。

鑑於中國自 2021 年起強制要求企業或研究人員在 48 小時內回報漏洞給工信部，外界更憂心中國合作方難以拒絕政府壓力。美國資安公司 SentinelOne 顧問 Dakota Cary 直言：「中國廠商勢必回應政府激勵，微軟限制資訊分享是正確之舉。」

關閉中國透明中心 中止源碼存取

除 MAPP 調整外，微軟也首度證實，早前設於中國的「透明中心」已全面關閉。這些設施原本允許中國官方檢視 Windows 等產品源碼，以確保系統未暗藏「後門」。微軟發言人 David Cuddy 表示，自 2019 年起就無人造訪這些中心，實際上「早已退役」。

微軟自 2003 年起便是首家允許中國政府檢視源碼的商業軟體公司，當時目的是建立信任。然而，隨著地緣政治與資安環境惡化，這項合作如今成為過去式。

中美資安角力持續升溫

中國駐美大使館回應稱，並不清楚 MAPP 調整細節或是否涉及洩密，但強調「網路安全是各國共同挑戰，應透過對話合作解決」。