Den Auslöser bildete eine Serie von Veröffentlichungen des anonymen Forschers. Nach „BlueHammer" folgten noch im selben Monat Exploits für zwei weitere Schwachstellen mit den Namen „RedSun" und „Undefend". Alle drei wurden laut dem Bericht rasch von Angreifern aktiv ausgenutzt. In mehreren Blogbeiträgen warf Nightmare-Eclipse dem MSRC vor, sich geweigert zu haben, die gemeldeten Fehler zu beheben. „Ich habe nicht geblufft, Microsoft, und ich tue es wieder", schrieb der Forscher.

In diesem Monat kamen Exploits für drei weitere Schwachstellen hinzu: „YellowKey", „GreenPlasma" und „MiniPlasma". In einem Blogbeitrag erklärte das MSRC, die insgesamt sechs Schwachstellen seien „nicht verantwortungsvoll offengelegt" worden. Unkoordinierte Veröffentlichungen, die Proof-of-Concept-Code für ungepatchte Lücken in die Hände von Angreifern legten, seien „niemals zu rechtfertigen" und hätten reale Folgen.

Besonders der Hinweis auf die Digital Crimes Unit löste in der Branche Empörung aus. Katie Moussouris, Gründerin und CEO von Luta Security und Wegbereiterin von Programmen zur Schwachstellenoffenlegung, schrieb auf BlueSky, das Veröffentlichen von Zero-Days sei „nicht das Schlimmste, was ein Forscher tun kann" – das Verschweigen von Schwachstellen sei weitaus schlimmer. Und was treibe Forscher in die Nichtoffenlegung? „Drohungen von Herstellern."

Casey John Ellis, Gründer von BugCrowd, nannte gegenüber Dark Reading Microsofts Entscheidung, einem Forscher mit Strafverfolgung zu drohen, einen „wahnsinnig kurzsichtigen Schritt" – gerade nach all den Investitionen in ein sicheres, transparentes und forschungsfreundliches Auftreten. Andrew Case, Director of Threat Research bei Volexity, schrieb auf X, das MSRC habe mit dem Beitrag „den gesamten Goodwill zunichtegemacht, den es im vergangenen Jahrzehnt aufgebaut hat". Die auf Malware-Analyse spezialisierte Community VX-Underground sah einen „Kipppunkt" nahen.

Mehrere Fachleute schilderten zudem eigene frustrierende Erfahrungen mit dem MSRC. Gabriel Landau, Sicherheitsforscher und früherer Principal Software Engineer bei Elastic, berichtete auf X von einer gemeldeten Umgehung von Microsofts Device Guard: Obwohl der Fehler an einem Patch Tuesday behoben worden sei, habe Microsoft erklärt, er erreiche nicht die Schwelle für eine CVE-Vergabe.

Nach dem Gegenwind ruderte Microsoft zurück. In einer Erklärung auf X relativierte das Unternehmen die harte Linie: Man habe „nicht die Absicht, gegen Personen vorzugehen, die Sicherheitsforschung betreiben oder veröffentlichen". Nur wenn jemand das Gesetz breche und mit bösartigen Aktivitäten realen Schaden anrichte, arbeite man mit den Strafverfolgungsbehörden zusammen.

Der Fall fällt in eine Zeit, in der Hersteller und Open-Source-Projekte unter einer Welle von „AI slop" leiden – fehlerhaften Bug-Reports mit unbrauchbaren Proof-of-Concepts, die offenbar von Sprachmodellen erzeugt wurden. Ellis sieht KI „durchaus" als Faktor der Spannungen: Schwachstellen seien heute leichter zu finden, das Kernproblem sei „Triage-Stress".

Unterdessen kündigte Nightmare-Eclipse weitere Veröffentlichungen an: Andere Forscher hätten Kontakt aufgenommen und „buchstäblich kostenlose Schwachstellen" überlassen. Zuvor hatte der Forscher Microsoft Demütigung und Verleumdung vorgeworfen und Vergeltung geschworen. Microsoft lehnte gegenüber Dark Reading eine weitere Stellungnahme ab.