我們的 13 歲還在“玩泥巴”，別人 13 歲已經(jīng)讓微軟改規(guī)則了！

原文鏈接：https://msrc.microsoft.com/blog/2025/07/rising-star-meet-dylan-msrcs-youngest-security-researcher/

編譯 | 蘇宓

出品 | CSDN（ID：CSDNnews）

投稿或?qū)で髨蟮?| zhanghy@csdn.net

13 歲的你在做些什么？也許在打游戲，或者忙著應(yīng)付課業(yè)。而另一邊，一位叫 Dylan 的少年，13 歲就因為發(fā)現(xiàn)漏洞而被微軟“破例錄取”，還直接促使微軟把漏洞賞金計劃的年齡門檻下調(diào)到了 13 歲！

最近，微軟在官方博客上介紹了這位“年紀輕輕就能改寫規(guī)則”的安全新星。從用 Scratch 做小游戲，到親手發(fā)現(xiàn) Teams 的系統(tǒng)漏洞，再到贏得黑客大賽獎項，他的成長故事堪稱“少年黑客養(yǎng)成記”。

技術(shù)啟蒙：從 Scratch 到安全研究

Dylan 對技術(shù)的興趣從小就顯現(xiàn)。

與很多技術(shù)少年一樣，Dylan 是從 Scratch 起步的——那個用來拖方塊編程序、做動畫的圖形化語言。可不同的是，別人玩著玩著就忘了，Dylan 卻玩著玩著上頭了。對 Dylan 來說，Scratch 不只是玩具，它開啟了一段更宏大的探索之路。

很快，他就進階到 HTML 以及其他編程語言，到了五年級時，Dylan 經(jīng)常會去查看分析教育網(wǎng)站的源代碼，以此提升自身的編程技能。在一次“小實驗”中，他在沒有完成課程內(nèi)容的前提下解鎖游戲——雖然讓他惹了一點麻煩，卻進一步激發(fā)了他對系統(tǒng)運作機制的興趣。

新冠疫情那幾年，學校把 Teams 的會議權(quán)限關(guān)閉了，學生不能自己發(fā)起會議。Dylan 看不下去了，一通操作，把 Outlook 搬上來了，繞過限制，幫大家重新建立起線上聯(lián)系。

在別人都在想怎么早點下課的時候，Dylan 已經(jīng)在想怎么“造一個更好的線上會議系統(tǒng)”了。對他而言，這不是為了“規(guī)避規(guī)則”，而是為了在孤立無援的時期幫大家保持聯(lián)系——這也正是他作為“問題解決者”的早期寫照。

Dylan 的首個漏洞發(fā)現(xiàn)

后來，學校又一次封鎖了學生創(chuàng)建 Teams 聊天的權(quán)限。面對這樣的“封禁操作”，Dylan 并沒有擺爛，而是腦洞大開，打算自己想辦法“把溝通渠道搶救回來”。他原本只是想幫大家恢復(fù)聊天功能，沒想到這一折騰，直接把他帶進了安全研究的大門。

接下來的九個月，他幾乎是全靠自己摸索，一邊查資料一邊試錯，最后真的找到了一個能“接管任意 Teams 群組”的漏洞。這個發(fā)現(xiàn)不僅讓他完成了從“技術(shù)愛好者”到“漏洞獵人”的身份轉(zhuǎn)換，也促成了他與 MSRC（微軟安全響應(yīng)中心）之間的第一次正式接觸。

很快，Dylan 向微軟提交了他的首份漏洞報告。

作為回應(yīng)，微軟漏洞賞金團隊修改了原有規(guī)則，將參與年齡門檻下調(diào)至 13 歲，正式承認他的研究員身份。自此，Dylan 也成了 MSRC 有史以來最年輕的合作研究員，并在接下來的合作中，持續(xù)展現(xiàn)出超越年齡的專業(yè)度與技術(shù)判斷力。

與 MSRC 合作的過程

Dylan 不只是技術(shù)牛，他的溝通能力也讓人佩服。在面對微軟安全響應(yīng)中心（MSRC）的一些初步評估時，他如果不認同，會非常禮貌地“提出不同看法”——不是一通質(zhì)疑，而是先努力理解對方的邏輯，再把自己的觀點條理清晰地表達出來。

這種“理性但不硬碰硬”的溝通方式，反而幫他贏得了 MSRC 的尊重，也讓很多本來可能被忽略的問題，得到了正視和解決。

比如有一次，他提交了一個關(guān)于 Authenticator Broker 服務(wù)的漏洞，結(jié)果一開始被微軟評為“不在賞金計劃范圍內(nèi)”。但 Dylan 沒急，慢慢講清楚這個漏洞可能帶來的更廣泛風險。最終，不僅這個漏洞得到了認可，微軟還干脆擴展了賞金項目的邊界，今后類似的問題也能被納入。這波操作，可以說是把技術(shù)實力+溝通能力，打出了 1+1＞2 的效果。

挫折與成長

盡管成績斐然，Dylan 的成長之路并非一帆風順。他也遇到過報告被誤解、進展受阻的情況。他將自己保持冷靜與專業(yè)的能力歸功于家人——尤其是母親、父親、繼父母以及祖父母的支持。

而他遇到的挑戰(zhàn)，也不止是技術(shù)方面的。疫情那段時間，他因為健康問題一度失聲，還做了兩次手術(shù)才恢復(fù)過來。這段經(jīng)歷雖然艱難，卻讓他變得更有韌性，也更加堅定地走在自己熱愛的路上。

接下來的計劃？

如今，Dylan 是一名高中三年級學生。他在兼顧學業(yè)的同時，積極參加科學奧林匹克、數(shù)學競賽，還愛好游泳、騎行與大提琴。僅去年夏天，他就提交了 20 份漏洞報告——而此前他總共只提交過 6 份。

他在 2022 年與 2024 年兩次被評為 MSRC 的“最有價值研究員”。

2025 年 4 月，Dylan 參加了微軟在雷德蒙德總部舉辦的頂級線下黑客競賽 Zero Day Quest，并拿下了第三名——這個成績已經(jīng)讓他躋身全球頂尖安全研究員之列。

即便學業(yè)繁重，Dylan 仍將安全研究視作一項有成就感的“興趣”。他熱衷于學習新知識、探索未知漏洞，并希望能回饋社區(qū)。對于未來，他保持開放態(tài)度，可能會繼續(xù)從事網(wǎng)絡(luò)安全，也可能投身科研或公共事務(wù)。

他還夢想著在達到年齡要求后，親自參加各類安全大會，結(jié)識同行、汲取經(jīng)驗。

對其他年輕研究者來說，Dylan 的故事也提醒我們：年紀，從來不是做事的門檻。真正重要的，是你有沒有持續(xù)探索的熱情、愿意反復(fù)試錯的勇氣，以及在遇到挑戰(zhàn)時，還能咬牙堅持下去的勁頭。

AI 產(chǎn)品爆發(fā)，但你的痛點解決了嗎？

2025 全球產(chǎn)品經(jīng)理大會

8 月 15–16 日

北京·威斯汀酒店

互聯(lián)網(wǎng)大廠、AI 創(chuàng)業(yè)公司、ToB/ToC 實戰(zhàn)一線的產(chǎn)品人

12 大專題分享，洞察趨勢、拆解路徑、對話未來。

立即掃碼領(lǐng)取大會PPT

搶占 AI 產(chǎn)品下一波紅利