一直以來，漏洞懸賞對程序員來說都更像是茶余飯后的消遣，但隨著微軟漏洞獎金提升計劃到 25 萬美元，開始有人擔心快速膨脹的獎金會為年輕的網(wǎng)絡安全研究者帶來錯誤的激勵，此舉更是會扭曲白帽子市場的秩序。

“如果挖個漏洞就能賺的盆滿缽滿，恐怕就沒人會專心修復漏洞了。”安全研究者 Katie Moussouris 說道，她就是微軟首個漏洞賞金項目的負責人。

“那些原本在公司里賺工資搞代碼維護的人現(xiàn)在都坐不住了，他們紛紛轉行成了全職的挖漏洞的白帽子，靠獎金來養(yǎng)活自己。”Moussouris 總結道。

“選擇做黑客雖然動機各不相同，但大多數(shù)都受三個因素影響。”她解釋道。其中包括經(jīng)濟補償、同行認可和追求智力上的快感。也就是說，走上黑客之路肯定有一部分原因是出于愛好。

除了在漏洞懸賞界的豐富經(jīng)驗，Moussouris 還專門花了幾年時間來分析數(shù)據(jù)，主題就與漏洞賞金項目和市場的其他特點有關。結果顯示，防守型漏洞市場已經(jīng)高度等級化，那些挖漏洞技巧致臻化境的一小部分黑客拿走了大部分賞金，其他人能跟著喝喝湯就不錯了。

雷鋒網(wǎng)了解到，賞金項目經(jīng)理 HackerOne 提供的數(shù)據(jù)集顯示，占參與總數(shù) 5% 的白帽子發(fā)現(xiàn)了 23% 的漏洞，而 Facebook 等公司運營的漏洞賞金項目也呈現(xiàn)出這樣的趨勢。

在這樣的市場氛圍下，怎么會有人愿意放下能賺大錢的挖漏洞賺賞金機會，轉去公司掙死工資呢？

風險溢價

在美國，“一位才華橫溢的漏洞挖掘者一年找到多個價值 10 萬美元的 Bug 并非不可能，也就是說，光靠吃賞金他就能賺到 50-100 萬美元?！卑踩軜嫀?Alex Ionescu 說道。不過他還加了一句，那就是想靠賞金吃飯，風險和成本也相當可觀。

首先，雖然宣傳說賞金高達 10 萬美元，但通常這是上限，黑客很難拿到這個數(shù)。其次，“值這個價的漏洞可并非滿地都是，即使技術高超，可能也要花數(shù)月甚至數(shù)年來尋找?！倍覄e忘了，參與賞金項目的可不是一位黑客，如果別人率先找到漏洞，你數(shù)個月的努力可能就會前功盡棄。別忘了，廠商也在積極尋找漏洞，而它們比黑客們更了解自己的產(chǎn)品。

此外，如果你要靠漏洞賞金過活，還得考慮自己的醫(yī)療保險和養(yǎng)老金等問題。

在美國，到底選擇那條路還是看個人，畢竟在公司可以有自己的社交并學著與他人合作和相互學習，不過對有些人來說這些所謂的好處他們并不在意。

綜合各種因素來說，Ionescu 認為在美國如果一年賺不到 50-100 萬美元的賞金，你還是放棄專職做漏洞挖掘者的想法吧。

黑市是個什么情況？

雷鋒網(wǎng)發(fā)現(xiàn)，如果你愿意破壞道德底線，將發(fā)現(xiàn)的漏洞賣給犯罪組織或情報機構，在黑市上拿 50-100 萬美元的賞金并不難。

消費者聯(lián)合會隱私與技術政策主管 Justin Brookman 指出，“進攻型”市場的錢袋子可比防御型或白帽市場鼓的多。不過，做這種黑心活可得不到什么公共認同，一些漏洞挖掘者也會覺得這種灰色領域還是不碰為好。

在 Ionescu 看來，白帽子市場的錯誤激勵其實并非那些獎池巨大的漏洞賞金項目。相反，“蚊子肉”項目帶來的影響更壞，它讓許多印度和中國挖漏洞的人上了“賊船”。

也就是說，高薪國家派出的任務可能會被經(jīng)濟不發(fā)達國家的黑客領走，對他們來說這些“蚊子肉”賞金可能也是巨款。如果這種情況繼續(xù)下去，可能會對教育和就業(yè)的平衡產(chǎn)生重大影響。

最后，Brookman 指出，科技公司不應該只把錢投在漏洞賞金項目上，它們更應該尋找如何設計沒有漏洞產(chǎn)品的方式。“至少從現(xiàn)在來看，它們的錢和資源并沒有用在前端代碼的糾正上，這才導致了后續(xù)漏洞的接連出現(xiàn)?！盉rookman 解釋道。

雷鋒網(wǎng)Via. CyberScoop

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。