2026年4月30日,微软Windows 11自带的Defender安全软件因病毒库更新出现严重误判,导致全球范围内使用该系统的设备遭遇网络访问异常。此次误判的核心起因是Defender更新至版本1.449.430.0之前的病毒库时,检测逻辑因过度宽泛,误将DigiCert颁发的两个合法根证书(哈希值分别为0563B863…和DDFB16CD…)识别为恶意木马程序,并执行了隔离或删除操作。
根证书是互联网信任体系的基础,也是HTTPS协议验证网站身份的核心环节。DigiCert作为全球领先的数字证书认证机构(CA),其根证书被广泛用于各类网站、应用及系统服务。当这两个根证书被误删后,依赖它们进行身份验证的HTTPS网站无法正常加载,部分需要证书验证的应用出现报错,甚至有用户因无法解决问题误操作重装系统,带来数据丢失风险。
事件发生后,微软迅速响应,在5月4日前推出了修复版病毒库,Defender默认开启的自动更新功能确保多数用户无需手动操作即可恢复正常。据微软官方确认,这次误报源于针对DigiCert此前一起安全事件的响应机制缺陷:为快速应对潜在威胁,安全团队设置的检测规则未经过充分的合法性验证,导致合法证书被归入恶意特征库。
这一事件暴露出安全软件在自动化威胁响应中的关键问题:过度追求响应速度可能牺牲检测精度,进而引发系统性风险。根证书被误删直接破坏了网络信任链,影响覆盖全球Win11用户,也凸显了核心安全组件的稳定性对用户体验的重要性。技术层面上,Defender的检测逻辑没能区分合法根证书与恶意文件的特征差异,这反映出机器学习模型或规则引擎在处理复杂证书结构时的局限性。
事件发生后,多家安全厂商开始强化根证书检测的验证流程。比如卡巴斯基宣布在其安全产品中增加根证书的多层验证机制,包括人工复核环节,以减少误判概率;苹果macOS的安全系统则通过与CA机构建立实时数据同步通道,确保根证书的合法性校验更精准。这些举措显示,安全软件厂商正逐步平衡威胁响应速度与检测准确性,避免类似事件再次发生。
快报