这让雷锋网编辑不禁联想到2015年安全团队VUPEN团队吐槽知名黑客破解大赛Pwn2own的事情。2015年,Pwn2Own黑客大赛招募在即,此前的大赢家、首个公开破解Chrome浏览器的顶级黑客团队VUPEN却宣布放弃。他们的团队创始人在社交媒体上公开吐槽:
你TM是在逗我吗?削减了奖金,然后大大提高难度,等2016年我再看看吧……
从“漏洞军火商”Zerodium发布的漏洞收购金额来看,确实商业收购的价格比此前各种大赛提供奖金要更高。
【zerodium提供的漏洞收购价】
一方面,技术漏洞的价值确实不能完全用金钱来衡量,漏洞挖掘者可能是为了技术荣耀,或是本着极客的心态来单纯地挑战技术高峰;但另一方面,漏洞价值不能用钱来衡量,也并不能成为低估漏洞价值的理由。毕竟有些破解方法需要技术人员花上毕生所学,有时还需要一些运气,付出巨大的努力之后才能找到。
类似Pwn2Own这样的顶级黑客赛事每年也会调整奖金和破解的规则,以适应实际情况。
如果撇开黑客比赛和悬赏的其他意义,单从奖金方面来看,厂商确实是大赢家,他们通过发放不算太高的奖金就能获得如此多的高技术含量的漏洞和利用方法。但是对于技术人员来说,挖掘漏洞、提交给厂商、参加黑客比赛,这些可能涉及到金钱、荣誉、正义、风险、道德等各个方面的问题。
如何既照顾到技术研究者付出的心力,又不失去原本漏洞研究的意义,本身就是一门高深的学问。但在雷锋网编辑看来,漏洞悬赏不是一个单纯的市场行为,它更有种行侠仗义的豪气、拾金不昧的高尚,和技术改变世界的情怀在其中。
