安全研究员Paul LaRosa(化名“MrBruh”)近日公开披露了与芯片制造商AMD持续124天的漏洞处理争议。这场争议的核心源于AMD自动更新器存在的安全缺陷,该缺陷允许攻击者通过篡改软件更新实现远程代码执行。
今年2月,Paul在例行安全审查中发现AMD自动更新程序存在重大漏洞:该程序通过未加密的HTTP协议下载驱动程序更新,且未对下载文件进行数字签名验证。这意味着同一网络内的攻击者可拦截更新流量,将合法驱动替换为恶意代码,进而利用更新程序的高系统权限控制目标设备。该漏洞被正式编号为CVE-2026-40677,根据通用漏洞评分系统(CVSS)评估达到7.7级严重程度。
在提交漏洞报告后,Paul与AMD就赏金支付产生分歧。AMD以“中间人攻击不在赏金计划覆盖范围”为由,拒绝支付1万美元(约合人民币6.7万元)的报告奖励。尽管承诺发布安全公告、修复软件漏洞并在官方渠道致谢,但明确表示不会提供经济补偿。更引发争议的是,AMD在漏洞处理期间单方面修改赏金条款,新增“未经书面许可不得公开漏洞细节”的限制性规定。
修复过程同样充满波折。Paul最初建议遵循行业通行的90天披露窗口期,但AMD以“多个工具链受影响”为由三次推迟修复计划。最终在首次报告124天后的6月9日,AMD才推送更新补丁。令人意外的是,所谓修复仅是将下载协议从HTTP升级为HTTPS,文件完整性验证仍采用已过时的CRC32哈希算法,而非现代加密签名技术。Paul后续验证确认,更新后的版本虽使用加密传输,但安全防护机制并未实质性提升。
这场安全争议出现戏剧性转折。有技术社区成员在Reddit平台指出,涉事更新代码存在根本性缺陷——其自我更新功能本身处于失效状态,导致漏洞代码路径在实际环境中无法触发。这意味着普通用户即使未采取任何安全措施,也从未真正暴露于该风险之下。若此说法属实,AMD耗时四个月的修复工作将沦为技术界的黑色幽默。
尽管AMD在最终发布的安全公告中确认漏洞存在并致谢Paul的贡献,但这场持续四个多月的拉锯战暴露出硬件厂商在漏洞响应机制上的深层问题。从赏金支付争议到修复方案敷衍,再到条款修改引发的信任危机,整个事件为行业敲响了安全治理的警钟。特别是当漏洞实际影响存疑时,企业是否仍应保持透明高效的处置流程,成为值得深思的技术伦理课题。
