我的看法是，是不是兩日內通報機關的「同時」，也跟廠商通知？要說微軟沒有過度解讀，也不是這樣，單純認為，發現漏洞->通知廠商，但為什麼你要限制不能先跟廠商講

正常社會的流程，就是先通知廠商，讓他們有時間處理，然後才公告。 中共國的社會，就是必須也要通知中共政府。 但好像沒看到哪一句說是不可以通知廠商的。 這一點是我的疑問。

13:01-13:18Vanguard Panda Insights with Crowdstrike's Adam Meye...他舉 apache 為例。 看起來這法律對自由軟體特別不友善，因為自由軟體不算是 「网络产品提供者」?

微軟沒有過度解讀，實務上是必須先提供給中共政府，大概等中共政府已經用過才算是已公開漏洞，然後提供給原廠 （已有阿里雲因為Log4j通報Apache被罰）

另一備受關注的現象是，由中國政府支持駭客組織發動的零時差漏洞攻擊大增。因為2023年的21個零時差漏洞攻擊，就有12個是中國駭客組織發動，漸漸超過其他國家駭客組織。

上述情形，也呼應到Google Mandiant先前的觀察：隨著中國於2021年實施《網路產品安全漏洞管理規定》，要求任何人發現或得知網路產品安全漏洞，皆須通報中國工業和信息化部，不得自行公布。【重新認識國家級駭客威脅】全民資安風險倍增！國家支持的網路間諜攻擊升級