13岁少年让微软“破格”改规则,还直接成了最年轻安全研究员!

头像

CSDN

2025-07-07 12:00发布于江苏

我们的 13 岁还在“玩泥巴”,别人 13 岁已经让微软改规则了!

原文链接:https://msrc.microsoft.com/blog/2025/07/rising-star-meet-dylan-msrcs-youngest-security-researcher/

编译 | 苏宓
出品 | CSDN(ID:CSDNnews)
投稿或寻求报道 | zhanghy@csdn.net

13 岁的你在做些什么?也许在打游戏,或者忙着应付课业。而另一边,一位叫 Dylan 的少年,13 岁就因为发现漏洞而被微软“破例录取”,还直接促使微软把漏洞赏金计划的年龄门槛下调到了 13 岁!

最近,微软在官方博客上介绍了这位“年纪轻轻就能改写规则”的安全新星。从用 Scratch 做小游戏,到亲手发现 Teams 的系统漏洞,再到赢得黑客大赛奖项,他的成长故事堪称“少年黑客养成记”。

图片


图片

技术启蒙:从 Scratch 到安全研究

Dylan 对技术的兴趣从小就显现。

与很多技术少年一样,Dylan 是从 Scratch 起步的——那个用来拖方块编程序、做动画的图形化语言。可不同的是,别人玩着玩着就忘了,Dylan 却玩着玩着上头了。对 Dylan 来说,Scratch 不只是玩具,它开启了一段更宏大的探索之路。

很快,他就进阶到 HTML 以及其他编程语言,到了五年级时,Dylan 经常会去查看分析教育网站的源代码,以此提升自身的编程技能。在一次“小实验”中,他在没有完成课程内容的前提下解锁游戏——虽然让他惹了一点麻烦,却进一步激发了他对系统运作机制的兴趣。

新冠疫情那几年,学校把 Teams 的会议权限关闭了,学生不能自己发起会议。Dylan 看不下去了,一通操作,把 Outlook 搬上来了,绕过限制,帮大家重新建立起线上联系。

在别人都在想怎么早点下课的时候,Dylan 已经在想怎么“造一个更好的线上会议系统”了。对他而言,这不是为了“规避规则”,而是为了在孤立无援的时期帮大家保持联系——这也正是他作为“问题解决者”的早期写照。


图片

Dylan 的首个漏洞发现

后来,学校又一次封锁了学生创建 Teams 聊天的权限。面对这样的“封禁操作”,Dylan 并没有摆烂,而是脑洞大开,打算自己想办法“把沟通渠道抢救回来”。他原本只是想帮大家恢复聊天功能,没想到这一折腾,直接把他带进了安全研究的大门。

接下来的九个月,他几乎是全靠自己摸索,一边查资料一边试错,最后真的找到了一个能“接管任意 Teams 群组”的漏洞。这个发现不仅让他完成了从“技术爱好者”到“漏洞猎人”的身份转换,也促成了他与 MSRC(微软安全响应中心)之间的第一次正式接触。

很快,Dylan 向微软提交了他的首份漏洞报告。

作为回应,微软漏洞赏金团队修改了原有规则,将参与年龄门槛下调至 13 岁,正式承认他的研究员身份。自此,Dylan 也成了 MSRC 有史以来最年轻的合作研究员,并在接下来的合作中,持续展现出超越年龄的专业度与技术判断力。


图片

与 MSRC 合作的过程

Dylan 不只是技术牛,他的沟通能力也让人佩服。在面对微软安全响应中心(MSRC)的一些初步评估时,他如果不认同,会非常礼貌地“提出不同看法”——不是一通质疑,而是先努力理解对方的逻辑,再把自己的观点条理清晰地表达出来。

这种“理性但不硬碰硬”的沟通方式,反而帮他赢得了 MSRC 的尊重,也让很多本来可能被忽略的问题,得到了正视和解决。

比如有一次,他提交了一个关于 Authenticator Broker 服务的漏洞,结果一开始被微软评为“不在赏金计划范围内”。但 Dylan 没急,慢慢讲清楚这个漏洞可能带来的更广泛风险。最终,不仅这个漏洞得到了认可,微软还干脆扩展了赏金项目的边界,今后类似的问题也能被纳入。这波操作,可以说是把技术实力+沟通能力,打出了 1+1>2 的效果。


图片

挫折与成长

尽管成绩斐然,Dylan 的成长之路并非一帆风顺。他也遇到过报告被误解、进展受阻的情况。他将自己保持冷静与专业的能力归功于家人——尤其是母亲、父亲、继父母以及祖父母的支持。

而他遇到的挑战,也不止是技术方面的。疫情那段时间,他因为健康问题一度失声,还做了两次手术才恢复过来。这段经历虽然艰难,却让他变得更有韧性,也更加坚定地走在自己热爱的路上。


图片

接下来的计划?

如今,Dylan 是一名高中三年级学生。他在兼顾学业的同时,积极参加科学奥林匹克、数学竞赛,还爱好游泳、骑行与大提琴。仅去年夏天,他就提交了 20 份漏洞报告——而此前他总共只提交过 6 份。

他在 2022 年与 2024 年两次被评为 MSRC 的“最有价值研究员”。

2025 年 4 月,Dylan 参加了微软在雷德蒙德总部举办的顶级线下黑客竞赛 Zero Day Quest,并拿下了第三名——这个成绩已经让他跻身全球顶尖安全研究员之列。

即便学业繁重,Dylan 仍将安全研究视作一项有成就感的“兴趣”。他热衷于学习新知识、探索未知漏洞,并希望能回馈社区。对于未来,他保持开放态度,可能会继续从事网络安全,也可能投身科研或公共事务。

他还梦想着在达到年龄要求后,亲自参加各类安全大会,结识同行、汲取经验。

对其他年轻研究者来说,Dylan 的故事也提醒我们:年纪,从来不是做事的门槛。真正重要的,是你有没有持续探索的热情、愿意反复试错的勇气,以及在遇到挑战时,还能咬牙坚持下去的劲头。