ไมโครซอฟท์ยอมถอย หลังขู่ดำเนินคดีนักวิจัย Nightmare Eclipse ท่ามกลางแรงต้านมหาศาลจากวงการไซเบอร์

ในจำนวนนี้ มีสามช่องโหว่ที่ได้รับการยืนยันอย่างรวดเร็วว่าถูกนำไปใช้ในการโจมตีจริงแล้ว ได้แก่ BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) และ UnDefend (CVE-2026-45498) หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ของสหรัฐฯ ถึงกับต้องนำช่องโหว่เหล่านี้เข้าไปอยู่ในรายการช่องโหว่ที่ถูกโจมตี (Known Exploited Vulnerabilities Catalog) ซึ่งบังคับให้หน่วยงานรัฐบาลกลางต้องติดตั้งแพตช์ฉุกเฉิน ต่อมา ไมโครซอฟท์ได้แพตช์ BlueHammer ในรอบ Patch Tuesday ของวันที่ 14 เมษายน และออกแพตช์นอกตาราง (out-of-band) สำหรับ RedSun และ UnDefend ในวันที่ 21 พฤษภาคม หลังจากมีรายงานการโจมตีจริง ส่วนอีกสามรายการ — YellowKey (ช่องโหว่บายพาส BitLocker, CVE-2026-45585), GreenPlasma และ MiniPlasma — ยังคงไม่ได้รับแพตช์จนถึงต้นเดือนมิถุนายน

นักวิจัยอ้างว่ามีประวัติความขัดแย้งกับไมโครซอฟท์ในการจัดการช่องโหว่ โดย Nightmare Eclipse ระบุว่ารายงานที่เคยส่งผ่านช่องทาง Official ถูกเพิกเฉยหรือจัดการไม่เหมาะสม อีกทั้งยังมีการระงับการจ่ายเงินรางวัล Bug Bounty ซึ่งมีรายงานว่าสูงถึง $250,000 ดอลลาร์สหรัฐ สำหรับช่องโหว่ Hyper-V ในขณะที่ไมโครซอฟท์เองก็ออกมาโต้ว่านักวิจัยไม่ได้แจ้งช่องโหว่ผ่านช่องทาง Official ก่อนเผยแพร่

การตอบโต้ของไมโครซอฟท์: จากบล็อกโพสต์สู่คำขู่ทางกฎหมาย

สถานการณ์ทวีความรุนแรงขึ้นในช่วงสัปดาห์สุดท้ายของเดือนพฤษภาคม ราววันที่ 23 พฤษภาคม บัญชี GitHub ของ Nightmare Eclipse ถูกระงับ ต่อมาบัญชี GitLab ก็ถูกแบนในราววันที่ 26–27 พฤษภาคม ทำให้นักวิจัยต้องย้ายไปปฏิบัติการบนบล็อกส่วนตัว และข่มขวัญว่าจะปล่อยข้อมูลชุดใหม่ที่ "สาโหด" (bone shattering) ในวันที่ 14 กรกฎาคม 2026 ซึ่งเป็นวัน Patch Tuesday ถัดไป

ในวันที่ 27 พฤษภาคม MSRC ได้เผยแพร่บล็อกโพสต์ชื่อ "A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure" (ความรับผิดชอบร่วมกัน: ปกป้องลูกค้าผ่านการเปิดเผยช่องโหว่แบบประสานงาน) โดยเนื้อหาได้ประณามการเปิดเผยข้อมูลที่ไม่เป็นไปตามขั้นตอน ระบุว่า "การเปิดเผยข้อมูลโดยไม่มีการประสานงานที่นำโค้ด PoC สำหรับช่องโหว่ที่ยังไม่ถูกแก้ไขไปอยู่ในมือของคนร้ายนั้น ไม่มีเหตุผลอันใดที่จะยอมรับได้ และก่อให้เกิดผลกระทบในโลกแห่งความเป็นจริง"

แต่ข้อความหนึ่งในบล็อกโพสต์นั้นที่ทำให้เกิดความตื่นตระหนกในวงกว้างคือ:

"หน่วยปราบปรามอาชญากรรมทางดิจิทัล (Digital Crimes Unit) ของเราจะยังคงดำเนินคดีกับผู้กระทำผิดเหล่านี้ และผู้ที่สนับสนุนกิจกรรมทางอาชญากรรมของพวกเขา — โดยจะประสานงานกับหน่วยงานบังคับใช้กฎหมายทั่วโลกตามความจำเป็น"

แม้ไมโครซอฟท์ไม่ได้ระบุชื่อ Nightmare Eclipse โดยตรง แต่บริบทของบล็อกโพสต์ที่ตอบโต้แคมเปญซีโร่เดย์ที่กำลังคุกรุ่น ทำให้นักวิจัยความปลอดภัยจำนวนมากตีความว่ามันคือคำขู่ทางกฎหมายต่อตัวนักวิจัยอย่างเฉพาะเจาะจง

เมื่อชุมชนไซเบอร์ลุกเป็นไฟ: "พวกเขาจะทำลายชีวิตฉัน"

ปฏิกิริยาตอบกลับมานั้นรวดเร็วและเป็นไปในทางลบอย่างท่วมท้น นักวิจัยความปลอดภัย, นักวิจารณ์วงใน, และสื่อเทคโนโลยีชั้นนำต่างประณามไมโครซอฟท์ว่าใช้กลยุทธ์ข่มขู่ที่อาจส่งผลเสียต่องานวิจัยด้านความปลอดภัยที่สุจริต

สำนักข่าวหลายแห่งเผยแพร่บทความวิจารณ์ภายในไม่กี่วัน TechCrunch พาดหัวว่า "ไมโครซอฟท์ถูกวิจารณ์อย่างหนักหลังข่มขู่นักวิจัยความปลอดภัยด้วยการสอบสวนทางอาญา" Windows Central รายงานความหวาดกลัวส่วนตัวของนักวิจัยด้วยพาดหัว "พวกเขาจะทำลายชีวิตฉัน" ส่วน The Register, Security Affairs, CSO Online และ The Times of India ต่างก็รายงานถึงกระแสตอบโต้ โดยสำนักข่าวต่างประเทศระบุว่าเกิด "ความเดือดดาล" และ "ความโกลาหล" ในชุมชนไซเบอร์

หัวใจหลักของคำวิจารณ์คือ นักวิจัยมองว่าท่าทีทางกฎหมายของไมโครซอฟท์กำลังบั่นทอนความเชื่อมั่นในกระบวนการ CVD เอง หากนักวิจัยต้องหวาดกลัวการถูกตอบโต้ทางกฎหมาย พวกเขาอาจจะหยุดรายงานบั๊กผ่านช่องทาง Official ไปเลย ผู้ให้ความเห็นหลายรายยังชี้ให้เห็นความย้อนแย้งที่ไมโครซอฟท์กำลังข่มขู่นักวิจัย ในขณะที่ช่องโหว่สามในหกรายการที่ถูกเปิดเผยยังคงไม่ได้รับแพตช์

นักวิจัยความปลอดภัยชื่อดัง Kevin Beaumont ได้ออกมาชี้ให้เห็นถึงการจัดการที่น่ากังขาของไมโครซอฟท์ ความเห็นส่วนใหญ่ในชุมชนเห็นพ้องกันว่า ไมโครซอฟท์เป็นผู้จุดชนวนให้เหตุการณ์บานปลายด้วยการจัดการรายงานเบื้องต้นของนักวิจัยอย่างผิดพลาด ก่อนจะซ้ำเติมด้วยการกวัดแกว่งอำนาจทางกฎหมาย

การกลับลำในวันที่ 2 มิถุนายน: ไม้แข็งที่ถูกหัก

ในวันที่ 2 มิถุนายน 2026 ไมโครซอฟท์ได้เปลี่ยนท่าทีอย่างสิ้นเชิง โดยออกแถลงการณ์บนโซเชียลมีเดีย X (ชื่อเดิม Twitter) ซึ่งหลายสำนักข่าวได้รายงานว่า บริษัทประกาศว่า "เพื่อให้ชัดเจนเกี่ยวกับแนวทางของเราในเรื่องกฎหมาย เราไม่มีเจตนาที่จะดำเนินคดีกับบุคคลที่ทำหรือเผยแพร่งานวิจัยด้านความปลอดภัยของพวกเขา"

ข้อความนี้ขัดแย้งโดยตรงกับภาษาที่ข่มขวัญจาก Digital Crimes Unit ในบล็อกโพสต์เมื่อวันที่ 27 พฤษภาคม ไมโครซอฟท์พยายามปัดเรื่องดังกล่าว โดยอ้างว่าการสื่อสารก่อนหน้านี้เป็นเพียงคำแถลงทั่วไปเกี่ยวกับแนวปฏิบัติ CVD ไม่ใช่การข่มขู่เฉพาะเจาะจงต่อ Nightmare Eclipse

บล็อกเทคโนโลยีจากเยอรมนี BornCity บรรยายการกลับลำครั้งนี้ว่าเป็น "การถอยหลังกลับเล็กน้อย" ของไมโครซอฟท์ หลังจากเกิด "พายุลูกใหญ่" จากบล็อกโพสต์ของ MSRC สื่อด้านไอที iTnews รายงานว่าการเคลื่อนไหวนี้ "เกิดขึ้นหลังจากกระแสตอบโต้อย่างรุนแรงจากนักวิจัยความปลอดภัย"

บทสรุป: การพ่ายแพ้ทางยุทธวิธี แต่ไม่ใช่การเปลี่ยนนโยบาย

แถลงการณ์วันที่ 2 มิถุนายนเป็นที่เข้าใจได้ดีที่สุดว่าเป็นมาตรการควบคุมความเสียหาย ไม่ใช่การยกเครื่องนโยบาย ไมโครซอฟท์ไม่ได้ให้คำมั่นว่าจะเปลี่ยนแปลงความคาดหวังในการเปิดเผยช่องโหว่ และไม่ได้ตอบสนองต่อข้อกล่าวหาหลักของนักวิจัยเรื่องรายงานที่ถูกเพิกเฉยกับเงินรางวัลที่ค้างจ่าย บริษัทเพียงแค่ถอนคำขู่ทางกฎหมาย แต่ยังคงจุดยืนว่าการเปิดเผยข้อมูลโดยปราศจากการประสานงานเป็นสิ่งที่ไร้ความรับผิดชอบ

ปฏิกิริยาจากชุมชนนักวิจัยสะท้อนถึงความเคลือบแคลงใจนี้ หลายคนมองว่าการ "เคลียร์" ครั้งนี้คือการถอยทางยุทธวิธีที่ขับเคลื่อนด้วยแรงกดดันจากสาธารณะ มากกว่าความตั้งใจจริงที่จะปกป้องสิทธิของนักวิจัย สถานะที่ยังไม่คลี่คลายของ YellowKey, GreenPlasma และ MiniPlasma — ซึ่งทั้งหมดยังไม่มีแพตช์จนถึงต้นเดือนมิถุนายน — ยังคงเป็นเชื้อไฟให้กับคำวิจารณ์ว่าลำดับความสำคัญของไมโครซอฟท์ยังผิดที่ผิดทาง

เหตุการณ์ทั้งหมดนี้เผยให้เห็นความตึงเครียดที่ฝังรากลึกในบรรทัดฐานการเปิดเผยช่องโหว่ ระบบ CVD ตั้งอยู่บนความเชื่อใจ: นักวิจัยรายงานบั๊กเป็นการส่วนตัว และผู้ผลิตซอฟต์แวร์จะออกแพตช์ภายในเวลาที่เหมาะสม เมื่อฝ่ายใดฝ่ายหนึ่งรับรู้ว่าข้อตกลงนี้ถูกทำลาย — ไม่ว่าจะเป็นการเพิกเฉยต่อรายงาน, การระงับเงินรางวัล, หรือการข่มขวัญทางกฎหมาย — ทั้งระบบก็จะเปราะบางลง ปัจจัยสามประการที่บีบให้ไมโครซอฟท์ต้องถอยคือ: ปริมาณและความเร็วของกระแสความเดือดดาลจากชุมชน, คำขู่ของนักวิจัยว่าจะปล่อยข้อมูลระลอกใหญ่กว่าเดิมในวันที่ 14 กรกฎาคม, และภาพลักษณ์ที่ดูไม่ดีนักในการขู่ดำเนินคดีในขณะที่แพตช์ของตัวเองยังไม่สมบูรณ์