谢尔盖•托辛（Sergey Toshin）特想在美国高速公路上开辆福特野马飞驰。这个愿望对于捉襟见肘的俄罗斯程序员而言可谓“异想天开”，但托辛有自己的小计划。他想：“漏洞赏金可以解决这个问题。”

　　漏洞赏金就是发给网络安全漏洞发现者的奖励，企业越来越喜欢实施漏洞赏金计划来众包渗透测试工作。托辛第一次接触到这个概念是在他兼职的网络安全公司里，从同事那里听说的。据这些男女同事说，通过猎取漏洞赏金，每个月能多赚高达5000美元。于是，托辛尝试了一下。

　　一开始，托辛频频受挫。他回忆道：“我95%的漏洞报告都被拒了。”私下里，托辛绝望了，因为他的声誉在HackerOne排行榜上一落千丈，而HackerOne是最著名的漏洞赏金平台之一。他说：“我觉得，性格使然吧。失败当时我会特绝望，感觉自己啥都做不好，但过了一两周，我又会觉得，‘不，我可以，别再那么想了！’”而在脑海中将即将到来的美国公路之旅与漏洞赏金猎取成功联系起来后，托辛转运了：一个接一个，他的漏洞报告开始受到承认。他回忆道：“最高的漏洞赏金数额是3000美元。我拿了很多笔。当然，我的大美公路之旅成行了。”

　　直到谷歌在2019年扩充其漏洞赏金计划，托辛才考虑成为一名全职漏洞赏金猎人。他回忆道：“那时候正值盛夏，我在酒吧消闲。出门吸支烟的工夫就看到了谷歌的消息，可把我乐坏了。我想，‘哥们儿要变有钱人了嘿。’”他的判断没错。托辛称，仅从谷歌一家就挣到了90万美元的漏洞赏金——足够他无需任何种子资金就创立自己的安全初创公司了。

　　像托辛一样的成功故事越来越常见。曾经不过是网络安全小众领域的漏洞赏金计划，如今迎来了爆炸式增长，大大小小的企业纷纷启动漏洞赏金项目根除自身代码中的缺陷。托辛称：“目前，甚至小公司都有自己的漏洞赏金计划了。寻找漏洞的空间大多了。”最近的一份调查报告显示，自2018年以来，奔着赏金而去的漏洞猎手数量增加了143%。

　　这些黑客中很多人都指望着一夜暴富。然而，现实远比想象困难得多，风险也大得多，不仅仅是对漏洞猎手而言，对发赏金的公司而言也是如此。对于新人来说，攀爬HackerOne和Bugcrowd等赏金中介网站的排行榜，无异于一条充满艰辛与突破道德底线的淘金之路。而对于提供赏金的软件供应商而言，拖延付款和金额不高也会有激怒漏洞猎手的风险。

近年来，致力于找寻软件漏洞的自由黑客（所谓‘漏洞赏金猎手’）数量快速增长。（供图：Nuthawut Somsuk/Getty Images）

漏洞赏金计划的诞生

　　正如哈佛大学的研究人员在1947年发现的那样，有软件就有漏洞——当时他们发现一只死飞蛾把自己崭新的超级计算机搞短路了。自那以后，审核代码找出漏洞，就成了内部程序员岗位要求的典型组成部分。不过，向外部人员提供漏洞报告奖励的想法直到1983年才出现，当时软件公司Hunter & Ready给能找出其操作系统缺陷的人奖励大众甲壳虫汽车。

　　此后又过了十年，这个概念才随着Mozilla的安全漏洞赏金计划成为主流。时任Mozilla安全工程总监卢卡斯•阿达姆斯基（Lucas Adamski）称，外包渗透测试的逻辑很简单。“对我来说，任何安全系统的强度都取决于一段时间内有多少聪明又有动力的人审查过它。仅此而已。跟谁写的代码毫无关系。”

　　漏洞赏金猎手贾斯汀•加德纳（Justin Gardner）表示，这也是种经济高效的办法。“在我看来，公司这么做的投资回报率很高。”有时候，精心设计的赏金计划能够揭示潜藏的灾难性漏洞。他提到了自己和另一名猎手山姆•库里（Sam Curry）成功渗透星巴克客户数据库的案例。他说：“那个客户数据库里有1亿条记录。只要被恶意黑客发现，这个漏洞能让星巴克损失数百万美元。”

　　加德纳自己的赏金之路颇为曲折，从与著名黑客Tommy 'dawgyg' de Vos的相遇开始（“他穿着整齐，帽子斜向一边，走到我面前说，‘哟，你曾在这些实验室计算机上尝试过这种新型漏洞吗？”从未这么干过的加德纳回忆说。）和托辛一样，加德纳在开始全职猎取赏金之前当了几年稳定拿工资的程序员。他很快就了解到，要将偶尔赚点外快的副业转变为职业需要付出多大的努力。

　　加德纳解释道：“主要有两个阶段。”第一个阶段涉及通过教程和文章获得渗透测试方面的相关专业知识，然后是从事漏洞捕捉的必要程序（大多数漏洞赏金猎手使用名为Burp Suite或Caido的应用安全测试软件。）第二个阶段则是，事实上，要找到这些漏洞仍然需要非常长的时间。加德纳表示：“作为一个黑客，你总在失败，因为有人的工作就是阻止你干你想要做的事。”

　　金钱是黑客追寻漏洞赏金的主要驱动力，但学习机会亦然。

2021年HackerOne用户的参与漏洞赏金计划的原因　来源：HackerOne

漏洞赏金猎手的职业危害

　　高失败率叠加漏洞赏金计划质量的参差不齐，意味着大多数漏洞猎手仍是兼职而非全职。但就算是兼职猎手，也应该警惕过劳。在法国和非洲猎取漏洞赏金的时候，克莱门特•多明戈（Clément Domingo）认识了几位猎手。他说，这几位已经投入挖掘漏洞到“完全忘记跟朋友、家人相处”的地步了。“漏洞赏金圈子里，我们不太谈论这个。”

　　有些人靠这种熬夜和忙碌的生活方式而茁壮成长。就加德纳而言，他很看重挖掘漏洞带来的自由和丰厚收入，用这笔钱还清了学生贷款，还和妻子搬到了日本。尽管如此，他坦诚，“这并不容易”。最起码，他就见过有漏洞猎手撑不下去了又重回朝九晚五的正常生活。然而，对于其他人来说，“他们的自我价值直线下降，因为他们会说，‘兄弟我做不到啊。我什么都不是。’而他们的整个身份认同就开始消退无踪了。”

　　漏洞赏金猎手需要自律的可不仅仅是工作与生活的平衡。加德纳认为，想要进入这个圈子的人应该签署基本的行为准则，也就是及时向官方赏金计划报告漏洞。除此之外的任何操作都可能很快越过道德界限，比如某人联系企业声称：我发现了一个严重漏洞，给我打钱，不然曝光。

　　加德纳称，大多数所谓‘求打钱漏洞赏金’都可以忽略。他解释道，不请自来的渗透测试不仅非法，而且往往是骗子“想要借报告无影响或影响小的漏洞来搞钱。”

　　相反，那些报告严重错误而不期望获得报酬的人理应得到公平的申诉机会，而不应该被视为罪犯（Bugcrowd的数据显示，如果没有明确的途径，58%的道德黑客不会向公司披露漏洞）。加德纳和多明戈都提到了密苏里州一名记者的案例：因披露某网站公布教师证书时无意中泄露了社会安全号码，这位记者遭到了起诉威胁。加德纳说：“看到这种情况，真是太令人难过了。”

　　虽然大多数漏洞赏金猎手都在美国和印度，但该行业的成员遍布世界各地

漏洞赏金猎手的地理分布

2021年Bugcrowd黑客位置　来源：Bugcrowd《深入黑客思维，2021版》

运营漏洞赏金计划的风险

　　如果执行得不好，漏洞赏金计划对提供奖励的公司而言也有风险。关键漏洞的赏金可能高达上万美元，但大多数全职赏金猎手的主粮还是价值几百美元的‘中低严重性’漏洞。多明戈解释称，这种定价结构应伴随着内部IT部门的漏洞快速分类和赏金及时支付，表明这种关系是建立在相互尊重的基础上。他说：“所有这些都指向良好的计划。良好的计划会让你[为他们]找出更多漏洞，因为你知道他们会关心你在做什么。”

　　而运营不善的漏洞赏金计划（加德纳和多明戈认为这种计划为数众多），则会给提供赏金的公司带来其他风险。赏金数额少、付款迟，还有沟通不畅，都可能会导致黑客考虑将自己发现的漏洞卖给出价最高的人。加德纳表示：“黑客怒而披露漏洞的事情太多了。你总得处理这种事情。黑客这个团体，有时候是很有点情绪化的。”

　　加德纳给考虑推出新漏洞赏金计划的公司提出了很简单的建议：“尽量别对试图为你的系统打补丁的人干混蛋事。”不过，他也承认，有时候说比做容易：“IT部门太容易疲于应对层出不穷的各种事件了。”尽管他只见过少数几个黑客把漏洞透露给第三方的案例，但“公司方面仍有办法可以避免此类情况发生。”

谷歌等大型科技巨头带动了漏洞赏金计划的兴起，谷歌自己就在2019年大幅拓展了自己的漏洞赏金计划。（供图：Willy Barton/Shutterstock）

自动化复杂性

　　并非所有人都认为漏洞赏金计划是安全代码的有效保障。今年早些时候，本古里安大学网络安全研究部门首席创新官奥列格•布罗德（Oleg Brodt）写道：“对于软件供应商来说，将消除产品漏洞的责任转移给漏洞猎手是相当方便的，他们比雇佣专职安全人员便宜得多。”然而，对于购买该软件的公司来说，这就很危险了。

　　加德纳对这一论点持怀疑态度，认为大多数公司不会购买需要花费数千美元赏金来修复漏洞的软件。他也不认为某些黑客采用自动化漏洞检测的趋势会导致漏洞猎手这一行最终没落。他表示：“有一些了不起的程序员和黑客在这方面做得非常出色。比如埃里克•海德（Eric Head，更为人所知的昵称是‘todayisnew’），他这么多年每个月都在HackerOne排行榜上名列前茅。他所做的就是外部攻击面监测和自动化。”尽管如此，加德纳认为，能否成功捕捉漏洞取决于人类的创造力，也取决于所使用的工具。

　　加德纳表示，即使对于那些缺乏这些能力的猎手来说，新的赏金机会也无处不在，既可以为社交媒体巨头挖掘AI偏见（今年早些时候，推特启动漏洞赏金计划，检测其图像裁剪功能中的偏见），也可以加入到加密货币智能合约的广阔蓝海猎捕漏洞。“以太坊上几乎所有东西都是开源的，所以攻击者很容易进去读取代码并发现漏洞。”

　　对托辛而言，最赚钱的领域仍然是移动应用，在他看来，移动应用比网站更容易反编译，更便于解析源代码。2020年，托辛用他的漏洞赏金收益创立了Oversecured，这是一家向挖掘iOS和Android应用漏洞的人提供自动漏洞扫描服务的初创公司。“现在，几家欧洲银行和多家网络安全顾问公司成了我们的客户。当然，还有几位漏洞猎手。”他说。

　　由于需要运营Oversecured，托辛现在基本上已经放弃参与猎取漏洞赏金了。这并不是说他从此无法再洞悉该行业的种种新现象。推出Oversecured时，托辛将每次扫描定价为10美元，理由是这样可以捕获想大范围搜寻漏洞的猎手市场。“但没有人使用。”他说。然后，托辛将价格调到250美元，销售猛增。因此，他说，人们很可能不相信扫描器的营销材料。在漏洞赏金蓝海，“他们相信价格。”

参考阅读

漏洞赏金随人才争夺战水涨船高

漏洞赏金计划的隐患

数据防勒索的三个最佳实践