安全研究员 Nightmare-Eclipse 再遭 GitLab 封号：漏洞披露机制反思

导语：一位匿名安全研究员，从拥有 MSRC 合法账户的”奉公守法白帽”，到 GitHub、GitLab 双平台连遭封禁的”网络通缉犯”，只用了不到两个月。Nightmare-Eclipse 的故事，是漏洞赏金生态崩溃的鲜活切片，也是整个安全行业协调披露机制失灵的缩影。这事儿吧，得从两边儿看——但无论怎么看，都算不上体面。

一、事件始末：从”合法白帽”到”平台弃儿”

1.1 一个研究员的”愤怒裂变”

Nightmare-Eclipse（也称 Chaotic Eclipse），真实身份匿名。此人并非什么野路子黑客，而是在微软 MSRC（微软安全响应中心）拥有正规漏洞报告账户的认证研究员。故事的转折点在于一次”石沉大海”的漏洞报告。

2026年4月2日，在多次联系 MSRC 未获回应、账户被删除之后，这位研究员做出了一个让整个安全圈炸锅的决定——通过自己的 Blogger 博客和 GitHub 账户，亲自公开尚未修复的 Windows 0day 漏洞 PoC 代码。首当其冲的，就是后来被命名为 BlueHammer 的 Windows Defender 本地提权漏洞。

4月14日，也就是短短12天后，微软在例行补丁日（Patch Tuesday）修复了 BlueHammer（编号 CVE-2026-33825）。随后，CISA 还将该漏洞列入了 Known Exploited Vulnerabilities（已知被利用漏洞）目录，这本身就说明了漏洞的真实危害程度。

1.2 “潘多拉魔盒”开启

如果说 BlueHammer 只是一次情绪宣泄，那接下来发生的事，就让这场对抗的性质完全不同了。

4月16日，研究员又发布了 RedSun 和 UnDefend 两个针对 Windows Defender 的漏洞 PoC。接下来的几周内，他又陆续公开了 YellowKey（绕过 BitLocker）、GreenPlasma、MiniPlasma 等多个 0day 漏洞——在 GitHub 最终被全面封禁时，其仓库里共存了至少六个有效漏洞。

根据 Cynet 的技术分析，BlueHammer 的攻击链堪称”优雅”：它利用了 Windows Defender 自身的更新机制、卷影复制服务（VSS）和 Cloud Files API 之间的隐式信任关系，通过 TOCTOU（检查时间-使用时间）竞争条件，最终读取 SAM 数据库并提取 NTLM 哈希，最终获得 NT AUTHORITYSYSTEM 权限。整个过程没有写入任何新型恶意文件，传统的静态分析工具和行为检测规则几乎束手无策。

1.3 GitHub → GitLab：无处容身

5月24日左右，GitHub（微软旗下）以违反平台服务条款为由，彻底封禁了 Nightmare-Eclipse 的账户。研究员的”迁移计划”迅速启动——5月25日，新注册的 GitLab 账户上线。

然而好景不长。新账户在极短时间内再次遭到 GitLab 封禁，这一次连”申诉机会”都没有。

在博客的最后一篇 PGP 签名帖文中，研究员向微软发出了更严厉的”最后通牒”——”Mark this date July 14th, I will make sure your bones are shattered that day.”（记住这个日子，7月14日，我将确保你们粉身碎骨。）

二、为何 GitLab 也会跟随封禁？

这事儿的逻辑并不复杂，但确实值得说道说道。

GitHub 和 GitLab 的服务条款都白纸黑字写着：禁止托管恶意软件或未经授权用于攻击的代码。这是平台规避法律风险的底线，不是可左可右的模糊地带。

但仅仅”内容合规”还不够。更值得关注的是来自上游的压力——对于托管漏洞利用代码的平台，持有相关商业利益的上游公司（如微软）完全有能力通过法律团队施加压力。此外，GitLab 还有一套”git abuse rate limit”反滥用系统，可自动检测异常下载或克隆行为。换句话说，即便不是人工内容审查，异常流量同样可能触发自动封禁。