不满微软漏洞通报流程的研究人员Chaotic Eclipse（Nightmare-Eclipse）在微软发布5月例行安全更新（Patch Tuesday）后，公开了磁盘加密机制BitLocker的零日漏洞YellowKey，并称其几乎等同于后门，风险极高。本周微软为此漏洞申请了CVE编号，并发布了缓解措施。

5月19日，微软将YellowKey登记为CVE-2026-45585，指出这是BitLocker安全功能绕过漏洞，攻击者一旦成功利用，即可绕过设备全盘加密（BitLocker Device Encryption）功能，CVSS风险评分为6.8分，危险等级为“重要”，影响范围包括Windows 11 24H2、25H2以及面向新硬件推出的26H1版本，Windows Server 2025服务器版同样受影响。但前提是攻击者必须物理接触目标设备，才能触发漏洞并访问加密数据。

值得注意的是，微软并未发布补丁，而是提供了一系列缓解方案，包括修改Windows恢复环境（WinRE）镜像、设置BitLocker PIN码；对于尚未加密磁盘的电脑，建议设置TPM PIN码进行防护。