如果你正在使用 WireGuard、VeraCrypt 或 MemTest86,请留意:你的 Windows 版本可能暂时无法获得最新的安全补丁了。
原因并非代码出了问题,而是微软的一个“自动化操作”,意外掐断了这些知名开源项目的发布渠道。
🚫 突然“断供”:开发者账户被无理由暂停
上周,VeraCrypt 的主要开发者 Mounir Idrassi 发现,他用于签名 Windows 驱动程序的微软合作伙伴中心账户被突然暂停。
- 无预警:没有邮件通知,没有事先警告。
- 无解释:登录后台只看到“账户已暂停”,没有任何具体原因。
- 无申诉:尝试联系支持团队,收到的全是自动回复和机器人消息,无法联系到真人。
很快,WireGuard 的维护者 Jason A. Donenfeld、Windscribe VPN 以及 MemTest86 的团队也遭遇了同样的情况。
对于普通用户来说,这可能只是一个小麻烦;但对于安全软件而言,这是灾难性的。正如 Donenfeld 所言:“如果 WireGuard 中存在一个正在被利用的关键远程代码执行漏洞,而我却无法立即发布更新,那该怎么办?”
🤖 微软的解释:你没通过“强制性验证”
在 TechCrunch 报道此事引发舆论关注后,微软副总裁 Scott Hanselman 终于出面回应。
他表示,这些账户被暂停是因为未能完成**“Windows 硬件计划的强制性账户验证”**。该验证流程自 2024 年 4 月启动,旨在加强供应链安全。微软声称,自 2025 年 10 月以来,已通过电子邮件多次通知所有合作伙伴,若未在 30 天内完成验证,将触发自动暂停。
简而言之,微软认为这是开发者“忽略通知”的后果,而非系统的错误。
📢 开发者的反驳:我们根本没收到通知
然而,受影响的开发者们一致表示:从未收到过相关邮件。
Idrassi 指出,他是通过社交媒体和记者的报道才得知这一政策的存在。Donenfeld 也表示,他在账户被停前没有任何察觉。这种“我说我发了,你说你没收到”的罗生门,暴露了微软在沟通机制上的巨大黑洞。
更讽刺的是,直到媒体介入、高管亲自联系,问题才开始得到解决。Idrassi 确认,Hanselman 已主动联系帮助恢复账户,并承认“社交媒体帖子和对记者的采访帮助触发了微软的回应”。
🔍 深层反思:自动化不能成为冷漠的借口
微软 Windows 与设备执行副总裁 Pavan Davuluri 随后也发表声明,承认“有时事情仍然会被忽略”,并承诺审查沟通流程,确保未来做得更好。
但这起事件留下的疑问远未消除:
- 关键基础设施的特殊性:像 WireGuard 和 VeraCrypt 这样的基础安全工具,其更新关乎数百万用户的数据安全。微软是否应为此类高影响力项目设立“白名单”或人工审核通道,而非一刀切的自动化封禁?
- 通知的有效性:如果重要的安全合规通知可以被轻易遗漏或归入垃圾邮件,那么微软的通知系统本身是否存在设计缺陷?
- 客服的缺失:当开发者面临账户被封、业务停摆的紧急情况时,为何连一个真人客服都联系不上?这种“机器人围墙”是否正在损害微软作为开发者友好平台的声誉?
评论