六月像一封迟到的回信，微软终于撤回对梦魇日蚀的法律威胁。我想这不仅是一次公关让步，更像是给开源世界敲响的一声晚钟。白帽黑客在代码的暗夜里举着手电，指给你看哪扇窗没关严，你却递给他一张传票，这无异于把以后所有的提醒都推进了黑市的深井。

开源的安全本就是一种基于信任的协奏。没有契约，就没有和声。负责任披露不该是事后扯皮的遮羞布，而应写进每个项目的 SECURITY.md：赏金范围、响应时限、法律豁免，白纸黑字像琴谱一样摆在那里。这样，发现漏洞的人才敢把音符递给你，而不是让它烂在心底，或被标价出售。

与其在漏洞曝光后发抖，不如在 README 里先伸出手。下一次，你会收到补丁，而不是热搜。