近日,一名安全研究员指责AMD在处理其上报的安全漏洞时做法不当,不仅用时124天才完成修补,还在事后修改漏洞奖励计划条款,以此为由拒绝向其支付原本应当获得的一万美元奖金,引发业界广泛质疑。
据报道,这名网名为“MrBruh”的安全研究员在自己新组装的游戏PC上频繁看到AMD更新程序控制台窗口弹出,因而对该自动更新软件产生怀疑,并着手进行逆向分析。 分析结果显示,虽然AMD更新程序会通过HTTPS协议获取更新列表,但真正用于下载更新可执行文件的链接却使用了明文HTTP,且在执行前并未进行有效的证书验证或签名校验。 这意味着,只要有攻击者能位于同一网络环境或控制上游链路,就有机会通过中间人攻击将AMD的更新文件替换为恶意可执行程序,而更新程序本身拥有高权限运行,从而可能导致远程代码执行风险。
MrBruh于1月27日发现漏洞,并在2月6日通过AMD的漏洞奖励计划正式提交报告。 AMD方面随后却以该问题属于“计划范围之外”为由关闭了报告,理由是这涉及中间人攻击场景且影响的是“可选工具”,因此不予发放奖金。 然而,此后该漏洞被正式编号为CVE-2026-40677,并获得CVSS 4.0 7.7分的评分,表明其严重程度并不低。 从报告到修补和解禁的全过程持续了124天,披露禁令于6月9日结束。
在AMD初步否定之后,MrBruh公开发表了技术分析文章,引发Hacker News等社区关注。 随着舆论发酵,AMD内部的产品安全事件响应团队(PSIRT)重新与他取得联系,表示问题仍在评估中,并要求其暂时下架公开文章,称其披露行为似乎不符合漏洞奖励计划的相关条款。
硬件媒体Gamers Nexus的调查显示,AMD随后对其漏洞奖励计划的规则措辞进行了调整,新条款明确规定:即便某一安全报告被认定为不符合奖励条件或不在计划范围内,研究员也不得在未取得AMD书面同意的情况下公布漏洞信息。 换言之,AMD被指控是先以旧规则拒绝漏洞有效性和奖金,再在事后修改规则,并回过头来指责研究员违反了一条当时尚未写入的条款。
目前,AMD在其官方安全公告中已公开承认这一漏洞的存在,并在文中对MrBruh给予了署名致谢。 公告称,AMD Ryzen Master 2.14.3、AMD µProf 5.3以及 AMD Management Console 14.0.0 等版本已经完成缓解。 AMD对研究员表示,现在所有更新通信已全面改用HTTPS,并在更新过程中加入签名验证流程。 不过,MrBruh在复测后指出,他虽确认了HTTPS的使用,但在下载的可执行文件上仅发现了CRC32校验,而这并不构成安全意义上的加密签名验证。
此外,研究员还提到,更新程序中另有一处重定向相关的缺陷,可能导致其自身更新过程无法正常进行。 基于以上问题,MrBruh建议用户彻底卸载当前AMD相关软件,并直接从AMD官网手动下载最新版本,以降低潜在风险。
这起事件不仅暴露出AMD在自动更新机制设计上的安全隐患,也引发了关于大型厂商如何对待安全研究群体的讨论。 外界批评认为,从最初将问题排除在奖励计划之外,到事后修改规则限制披露,AMD的处置方式可能损害安全社区对其漏洞披露体系的信任。