AMD 拒發 1 萬美元漏洞獎金，資安研究員揭露「封口令」爭議

一名資安研究員 Paul 在 2026 年 2 月發現 AMD 自動更新軟體中存在潛在的遠端程式碼執行（RCE）漏洞，該漏洞可透過中間人攻擊（MITM）觸發。儘管該研究員依循程序通報並曾發布技術部落格，AMD 卻拒絕支付原定針對此類嚴重等級漏洞的 1 萬美元獎金，理由是該公司認定中間人攻擊並不符合獎勵計畫的範疇。

漏洞揭露禁令引發爭議

在通報過程中，AMD 要求研究員將相關發現撤下，並簽署長達 100 天的漏洞揭露禁令（Embargo），理由是其他工具也可能存在類似漏洞。然而，這項禁令最終被延長至 124 天，遠高於業界普遍採用的 90 天標準。據《Tom's Hardware》分析，單就此項漏洞的嚴重程度而言，AMD 拒發獎金的決策顯得缺乏合理性。

AMD 隨後嘗試透過重新設計自動更新程式的程式碼來修補漏洞，但過程中卻衍生出新的問題，導致更新程式本身失效，無法執行自動更新功能。

政策變更遭社群質疑

事件引發資安社群的強烈不滿。據《TechSpot》報導，在拒發獎金的消息傳開後，AMD 修改了漏洞獎勵計畫的揭露規則，將保密義務擴大至原先被認定為「不在範圍內（out of scope）」的漏洞。社群批評此舉並非為了提升安全性，而是針對公眾輿論的防禦性手段。

這項政策變更實際上是在告訴未來的研究員，即便漏洞不在獎勵範圍內，他們也無法立即公開揭露，這剝奪了研究員迫使企業正視問題的唯一手段。

目前在 Reddit 等社群平台上，資安從業人員正針對 AMD 是否真正重視協助發現嚴重漏洞的研究員進行討論。這項變更被視為削弱了資安研究員對企業施壓、確保漏洞獲得修復的關鍵籌碼。