数字赏金猎人如何搜寻软件漏洞和金钱

那是 2016 年，黑掉五角大楼刚刚成为联邦政府有史以来第一个漏洞赏金计划。该计划向 1,400 多名黑客开放仅 13 分钟，其中一名黑客就发现了第一个软件漏洞。在收到 138 份报告和 75,000 美元奖金后，该计划被认为是成功的。

漏洞赏金（组织向报告与安全漏洞相关的软件漏洞的人提供的奖金）自那时起变得越来越主流。赏金猎人的数量已大大增加，对于少数能够发现复杂、有价值的安全漏洞的人来说，找到赏金的奖励增加了五倍，公司愿意为此支付数百万美元。但是，虽然赏金很多，但支付额往往仍然很低，平均而言，漏洞赏金猎人发现一个漏洞的报酬约为 250 美元。

凯蒂·穆苏里斯 (Katie Moussouris) 曾是一名雇佣黑客，也是微软自己的漏洞赏金计划的先驱，她不仅对“黑掉五角大楼”感到担忧，还对漏洞赏金领域的变化感到担忧。“他们一开始就选择以现金奖励计划开始，这违背了我的建议，”她说。穆苏里斯曾担任“黑掉五角大楼”计划的顾问。“你必须先学会爬，然后才能走路和跑步。”

为了Moussouris 认为，漏洞赏金计划是整个系统的可选附加功能，而她认为五角大楼尚未实施这一计划。虽然报告漏洞是一回事，但 Moussouris 认为，在向自由职业者提供资金之前，组织应该专注于实际的调查工作，即找到问题的技术根源、修补漏洞并测试补丁。她长期以来一直在对漏洞赏金计划发出警告，并警告她所说的行业中的剥削性劳工行为。

如今，当你听到黑客发现软件漏洞并获得奖励的消息时，这就是现代漏洞赏金计划的运作方式。以下是有关该系统的一些信息，以及一些专家认为它存在的问题。

漏洞赏金简史

20 世纪 90 年代中期，只有一家公司认为应该为发现漏洞的人提供奖励：Netscape，它是广泛使用的早期网络浏览器的创造者。500 美元的奖金几乎一直是行业标准，直到 2010 年，谷歌才开出了 1,337 美元的最高漏洞赏金。这个数字在黑客术语中拼作“leet”，是精英的缩写，作为对黑客的一点内部致敬。

这项新计划提高了软件公司的赌注。Mozilla 迅速将赏金提高到 3,000 美元，谷歌也将其赏金提高到 31,337 美元（黑客术语中的“精英”），微软开始询问当时还是微软员工的 Moussouris，如何为他们的浏览器创建漏洞赏金计划，因为浏览器是用旧的遗留代码编写的。

当时，人们每年向 [email protected] 发送超过 25 万到 30 万封电子邮件，免费报告漏洞，因此需要花些功夫才能让高管相信向黑客付费是值得的。2012 年，Moussouris 推出了微软 BlueHat 漏洞缓解进步奖，该奖项在 2012 年为漏洞修复支付了 26 万美元。

[相关：你需要保护自己免受零点击攻击]

如今，这些数字还在继续上升。苹果的最高赏金为 100 万美元。谷歌表示，他们在 2020 年支付了 670 万美元的漏洞赏金。区块链技术公司 Polygon 为发现一个关键漏洞支付了 200 万美元的赏金，该漏洞可以让攻击者将他们提取的加密货币数量翻倍。

但这些高额数字掩盖了真相，即大多数漏洞赏金都接近 200 美元而不是 2,000 美元，而且大多是由生活成本低得多的外国年轻人追捕，通过 HackerOne（Moussouris 曾担任其首席政策官）和 BugCrowd 等零工经济公司进行撮合。

低薪零工大军

BugCrowd 是一家众包安全平台，将赏金猎人与公司联系起来。该公司的首席技术官 Casey Ellis 表示，他的公司是第一个提出在道德黑客和需要了解自身弱点的公司之间建立一个平台的公司。那是在 2013 年。“当时，人们无法理解黑客可能是好人，”他说。“而且人们并不像今天这样真正关心网络安全。网络安全已经从非常模糊的问题变成了餐桌上的谈资。”

截至 2022 年，已有 30 万人注册了 BugCrowd。虽然赏金猎人各式各样，但埃利斯表示，BugCrowd 的许多自由职业者都是来自印度、南美和菲律宾等地的 18-25 岁的年轻男性。

孩子们也经常向 BugCrowd 求助。埃利斯回忆说，一个十几岁的少年想出了如何破解学校午餐系统，以便在学校获得免费食物，然后找到了 BugCrowd，在那里他的技能可以得到更合乎道德的运用。

[相关：网络安全专家称 20 亿美元援助太少，也太迟了]

他说道：“寻找漏洞是一条越来越可行的职业道路。”

HackerOne 首席技术官兼联合创始人 Alex Rice 在一封电子邮件中写道：“对于大多数被评为中等严重程度的漏洞，我们的客户平均可获得 500 美元左右的报酬，比去年增长了 11%。”他和漏洞搜寻行业的其他从业者一样，预计这些报酬还会继续增加。