Microsoft đã công bố sự trở lại của chương trình Zero Day Quest đột phá, nâng cao mức độ khuyến khích nghiên cứu an ninh mạng với tổng giải thưởng lên đến 5 triệu USD. Sáng kiến này đặc biệt tập trung vào việc tìm kiếm và khắc phục các lỗ hổng zero-day trong môi trường điện toán đám mây và trí tuệ nhân tạo.

Dựa trên thành công của sự kiện khai mạc năm ngoái, chương trình năm nay tăng cường tập trung vào các lỗ hổng có tác động cao. Mục tiêu là củng cố hệ thống phòng thủ chống lại các mối đe dọa mạng đang ngày càng phát triển.

Microsoft Zero Day Quest 2025: Nâng Tầm Phát Hiện Lỗ Hổng Zero-Day

Mục Tiêu và Phạm Vi Chương Trình

Microsoft Security Response Center (MSRC) mô tả Zero Day Quest là sự kiện hack công khai lớn nhất trong lịch sử. Chương trình được thiết kế để thúc đẩy sự hợp tác giữa các nhà nghiên cứu bảo mật hàng đầu và đội ngũ kỹ sư của Microsoft.

Mục tiêu chính là chủ động củng cố các biện pháp phòng thủ chống lại những mối đe dọa mạng đang ngày càng phát triển. Sáng kiến này khẳng định lập trường chủ động của Microsoft trong quản lý lỗ hổng, nhận thức rằng bối cảnh mối đe dọa luôn biến đổi đòi hỏi sự đổi mới liên tục và nỗ lực chung.

Bằng cách khuyến khích việc tìm kiếm lỗ hổng một cách có đạo đức, chương trình hướng tới việc xác định và giảm thiểu các khai thác (exploit) chưa từng được biết đến. Đây là những điểm yếu (lỗ hổng zero-day) có thể bị kẻ tấn công vũ khí hóa trước khi chúng gây hại cho dữ liệu hoặc hạ tầng của khách hàng.

Thành Công Từ Chương Trình Trước Đó

Chương trình Zero Day Quest năm ngoái không chỉ làm nổi bật các lỗ hổng bảo mật quan trọng mà còn mang lại những giải thưởng lớn. Đã có 1.6 triệu USD được phân bổ cho các nghiên cứu đột phá trong các lĩnh vực như Copilot AI và dịch vụ đám mây.

Những nghiên cứu này đã chứng minh những cải tiến rõ rệt trong khả năng phục hồi của sản phẩm. Thành công này tạo tiền đề cho sự mở rộng và tăng cường quy mô của chương trình năm nay.

Cơ Chế Khen Thưởng và Ưu Đãi Đặc Biệt

Các Lĩnh Vực Ưu Tiên Nghiên Cứu

Việc tham gia Zero Day Quest Research Challenge bắt đầu từ ngày 4 tháng 8 đến ngày 4 tháng 10 năm 2025. Giai đoạn này kéo dài hai tháng và mở cửa cho tất cả các nhà nghiên cứu bảo mật trên toàn thế giới.

Trong thời gian này, các báo cáo nhắm vào các miền ưu tiên cao sẽ đủ điều kiện nhận các khoản thưởng được khuếch đại. Các lĩnh vực này bao gồm:

• Hạ tầng đám mây Microsoft Azure
• Chức năng AI của Copilot
• Giải pháp doanh nghiệp Dynamics 365 và Power Platform
• Dịch vụ định danh (Identity services) cho các giao thức xác thực
• Bộ ứng dụng năng suất M365

Điều này nhằm khuyến khích phát hiện các lỗ hổng zero-day tiềm ẩn trong các hệ thống quan trọng của Microsoft.

Chính Sách Thưởng Cộng Thêm

Để khuyến khích phát hiện các vấn đề nghiêm trọng, Microsoft áp dụng hệ số nhân +50% trên các khoản thưởng. Hệ số này dành cho các lỗ hổng được phân loại là Critical severity (mức độ nghiêm trọng tối quan trọng) hoặc những lỗ hổng phù hợp với các kịch bản tác động cao được chỉ định.

Hệ số nhân này được áp dụng một cách chọn lọc, với giá trị cao hơn sẽ được ưu tiên nếu một báo cáo đáp ứng nhiều tiêu chí. Điều này có thể đẩy các khoản thưởng cá nhân lên mức sáu con số đối với các khai thác liên quan đến:

• Remote Code Execution (RCE)
• Privilege Escalation (leo thang đặc quyền)
• Thao túng mô hình AI

Việc tìm ra những lỗ hổng zero-day trong các kịch bản này mang lại giá trị đặc biệt cao. Thông tin chi tiết về Zero Day Quest có thể tìm thấy trên blog của Microsoft Security Response Center: Zero Day Quest – Tham gia sự kiện hacking lớn nhất với tổng giải thưởng lên đến 5 triệu USD

Sự Kiện Live Hacking Độc Quyền

Môi Trường Hợp Tác Kỹ Thuật Chuyên Sâu

Các nhà nghiên cứu đủ điều kiện có thể nhận được lời mời tham gia sự kiện Live Hacking độc quyền. Sự kiện này chỉ dành cho khách mời, dự kiến vào Mùa xuân năm 2026 tại trụ sở Redmond của Microsoft.

Cuộc họp trực tiếp này sẽ quy tụ các chuyên gia hàng đầu trong một môi trường hợp tác. Người tham gia được phép tương tác trực tiếp với nhân sự MSRC và các nhà phát triển sản phẩm để mổ xẻ các lỗ hổng zero-day phức tạp trong thời gian thực.

Sự kiện này vượt ra ngoài khuôn khổ một cuộc thi đơn thuần, hoạt động như một diễn đàn chia sẻ kiến thức. Tại đây, những người tham gia có thể trao đổi hiểu biết sâu sắc về các vector tấn công nâng cao, chẳng hạn như những vector khai thác điều phối container trong Azure Kubernetes Service (AKS) hoặc prompt injection trong các pipeline xử lý ngôn ngữ tự nhiên của Copilot.

Tiêu Chí Đánh Giá và Tầm Quan Trọng Toàn Cầu

Quy Trình Tiết Lộ Có Trách Nhiệm

Các chương trình tiền thưởng của Microsoft, nền tảng cho cuộc thi này, tuân thủ các hướng dẫn nghiêm ngặt đảm bảo việc tiết lộ có trách nhiệm. Các khoản thưởng được điều chỉnh dựa trên mức độ nghiêm trọng của khai thác (exploit severity), khả năng tái tạo (reproducibility) và các yếu tố tác động kinh doanh tiềm ẩn.

Những yếu tố này được đánh giá bằng các số liệu như Common Vulnerability Scoring System (CVSS) và các đánh giá rủi ro nội bộ. Bằng cách nâng mức trần tiền thưởng lên 5 triệu USD, Microsoft không chỉ khen thưởng sự khéo léo mà còn thể hiện một sự đầu tư sâu hơn vào việc bảo mật các công nghệ mới nổi.

Chương trình giải quyết các thách thức cấp bách trong bảo mật AI, chẳng hạn như các cuộc tấn công đối kháng có thể làm suy yếu mô hình học máy. Đồng thời, nó cũng nhắm đến các lỗ hổng đám mây như cấu hình sai trong hệ thống quản lý danh tính và truy cập (Identity and Access Management – IAM) có thể dẫn đến rò rỉ dữ liệu nhạy cảm.

Các nhà nghiên cứu được khuyến khích khám phá các kịch bản liên quan đến hypervisor escapes trong môi trường ảo hóa hoặc các cuộc tấn công kênh phụ (side-channel attacks) trên các công cụ suy luận AI. Các khoản thưởng sẽ phản ánh độ sâu kỹ thuật cần thiết cho những phát hiện như vậy. Đây là nỗ lực quan trọng nhằm đối phó với các lỗ hổng zero-day tinh vi.

Ý Nghĩa Đối Với An Ninh Mạng Toàn Cầu

Sáng kiến này phù hợp với xu hướng rộng lớn hơn trong ngành về sự phổ biến của các chương trình tiền thưởng lỗi (bug bounty). Các công ty như Microsoft tận dụng chuyên môn từ cộng đồng để vượt qua các tác nhân độc hại.

Khi các cuộc tấn công mạng ngày càng trở nên tinh vi hơn, bao gồm các hoạt động của quốc gia và các chiến dịch mã độc ransomware, Zero Day Quest đưa Microsoft lên vị trí dẫn đầu trong đổi mới phòng thủ. Các nhà nghiên cứu quan tâm có thể gửi các phát hiện thông qua các kênh MSRC đã thiết lập.

Họ sẽ nhận được không chỉ các ưu đãi tài chính mà còn là sự công nhận trong việc nâng cao các tiêu chuẩn an ninh mạng toàn cầu. Với lịch sử thành công trong việc thúc đẩy các cải tiến có ý nghĩa, phiên bản năm nay của Zero Day Quest sẵn sàng nâng cao hơn nữa tư thế bảo mật của công nghệ đám mây và AI, mang lại lợi ích cho cả doanh nghiệp và người dùng cuối bằng cách giảm thiểu các lỗ hổng zero-day.