微软将 WireGuard 开发人员排除在验证扫描之外，破坏了关键的安全更新

微软刚刚锁定了 Jason Donenfeld 的开发者帐户，他是广泛使用的开源 VPN 技术 WireGuard 的负责人。这切断了他对驱动程序进行签名以及向 Windows 用户发送更新的能力。此次封锁使数百万用户面临潜在的安全漏洞，而且没有任何明确的解决时间表。

多南菲尔德确认了问题向 TechCrunch 发出警告，警告这会造成危险。根据他的说法，从长远来看，如果出现任何严重漏洞，尽管目前还没有，但用户肯定会受到打击。

WireGuard 为一些互联网上最值得信赖的安全基础设施提供支持。 Proton VPN、Tailscale 和 Mulvad 均基于其代码构建。其简单性和强大的安全记录使其成为全球无数商业 VPN 服务的支柱。开发者帐户锁定，无论在微软看来多么例行公事，都会给这个生态系统带来严重后果。

微软的静默验证让开发者措手不及

微软的 Windows 硬件计划最近完成了一项强制性帐户验证活动，要求所有注册的开发人员上传政府颁发的身份证明。该计划针对的是自 2024 年 4 月以来尚未完成验证的合作伙伴。错过窗口的开发者的帐户将在没有警告的情况下被暂停。

多南菲尔德不知道截止日期的存在。微软没有向他发送任何信息；没有电子邮件，没有警报，没有任何类型的通知。 “我检查了每个收件箱、每个垃圾邮件文件夹、每个邮件日志，零，什么都没有，什么都没有，”他说。

他是在偶然发现微软网站中隐藏的一个页面后才发现这项政策的。那时，验证窗口已经关闭。他的帐户被暂停，并且他向 Windows 用户推送待处理的 WireGuard 更新的能力在到达时就失效了。

相比之下，Google 最近的隐私政策更新专注于为 Chrome 扩展程序用户提供对其数据的更多控制权，并引入额外的隐私保护，展示了一种不同的平台治理方法，该方法优先考虑用户透明度而不是开发人员验证。

他花了数周时间对 WireGuard 的 Windows 代码进行现代化改造，并准备将其提交给微软检查，但“访问受限”错误导致一切停止。

多南菲尔德试图通过微软自己的验证流程来解决这个问题，通过微软使用的第三方服务完成身份检查。该服务确认了他的身份。微软仍然暂停了他的访问。

他的案件最终到达了微软的执行支持团队，该团队负责处理备受瞩目的帐户问题，但该团队告诉他，审核过程可能需要长达 60 天的时间。

WireGuard 的停工并非孤例。微软的验证扫描让其他主要开发商陷入了同样的陷阱。

数十万用户依赖它来加密文件和整个操作系统的加密软件 VeraCrypt 也遭受了同样的命运。其开发者 Mounir Idrassi 告诉 TechCrunch，微软在没有任何事先通知的情况下将他锁定在账户之外。

他的处境更加紧迫，封锁使他无法在关键证书颁发机构到期之前更新 VeraCrypt。他警告说，这个期限可能会阻止一些用户完全启动他们的系统。

VPN 和消费者隐私工具公司 Windscribe 也证实，尽管微软持有经过验证的帐户八年多，但微软仍将其锁定在合作伙伴中心帐户之外。

据 X 上的 Windscribe 称，他们已经尝试解决这个问题一个多月了，但都无济于事。支持是不存在的。 “有谁认识一个仍然在微软工作并且可以提供帮助的人吗？”爬墙问道。

Windows 硬件计划的存在有正当理由。驱动程序拥有对操作系统核心功能的大量访问权限，黑客历史上曾利用它们来破坏系统。限制驱动程序发布给经过审查的开发人员作为政策是有意义的。然而，在没有警告的情况下暂停帐户会损害开发人员保护 Windows 用户安全的能力。

部分解决方案出现，但损害依然存在

到周三晚些时候，多南菲尔德的案件出现了进展迹象。他告诉 TechCrunch，微软终于与我们取得了联系，而且解决方案似乎已经触手可及。然而，当 TechCrunch 联系微软时，微软并未发表公开评论。

但更广泛的损害依然存在。多个备受瞩目的开源项目失去了数周的更新能力，导致其用户无法在该窗口期间接收补丁。微软的无声扫荡将合规性文书工作置于日常依赖这些工具的数百万 Windows 用户的安全之上。

对于 WireGuard 用户来说，影响尤其显着，因为协议的速度优势使其成为注重隐私且不想牺牲性能的用户的首选，任何更新延迟都可能使这些用户容易受到攻击。

对于多南菲尔德和更广泛的开源社区来说，这一事件凸显了一个脆弱的现实；一项政策变更、一封错过的电子邮件、一个关闭的验证窗口以及关键软件停止运行。