数字赏金猎人如何搜寻软件漏洞和金钱

那是 2016 年，黑掉五角大楼刚刚成为联邦政府有史以来第一个漏洞赏金计划。该计划向 1,400 多名黑客开放仅 13 分钟，其中一名黑客就发现了第一个软件漏洞。在收到 138 份报告和 75,000 美元奖金后，该计划被认为是成功的。

漏洞赏金（组织向报告与安全漏洞相关的软件漏洞的人提供的奖金）自那时起变得越来越主流。赏金猎人的数量已大大增加，对于少数能够发现复杂、有价值的安全漏洞的人来说，找到赏金的奖励增加了五倍，公司愿意为此支付数百万美元。但是，虽然赏金很多，但支付额往往仍然很低，平均而言，漏洞赏金猎人发现一个漏洞的报酬约为 250 美元。

凯蒂·穆苏里斯 (Katie Moussouris) 曾是一名雇佣黑客，也是微软自己的漏洞赏金计划的先驱，她不仅对“黑掉五角大楼”感到担忧，还对漏洞赏金领域的变化感到担忧。“他们一开始就选择以现金奖励计划开始，这违背了我的建议，”她说。穆苏里斯曾担任“黑掉五角大楼”计划的顾问。“你必须先学会爬，然后才能走路和跑步。”

为了Moussouris 认为，漏洞赏金计划是整个系统的可选附加功能，而她认为五角大楼尚未实施这一计划。虽然报告漏洞是一回事，但 Moussouris 认为，在向自由职业者提供资金之前，组织应该专注于实际的调查工作，即找到问题的技术根源、修补漏洞并测试补丁。她长期以来一直在对漏洞赏金计划发出警告，并警告她所说的行业中的剥削性劳工行为。

如今，当你听到黑客发现软件漏洞并获得奖励的消息时，这就是现代漏洞赏金计划的运作方式。以下是有关该系统的一些信息，以及一些专家认为它存在的问题。

漏洞赏金简史

20 世纪 90 年代中期，只有一家公司认为应该为发现漏洞的人提供奖励：Netscape，它是广泛使用的早期网络浏览器的创造者。500 美元的奖金几乎一直是行业标准，直到 2010 年，谷歌才开出了 1,337 美元的最高漏洞赏金。这个数字在黑客术语中拼作“leet”，是精英的缩写，作为对黑客的一点内部致敬。

这项新计划提高了软件公司的赌注。Mozilla 迅速将赏金提高到 3,000 美元，谷歌也将其赏金提高到 31,337 美元（黑客术语中的“精英”），微软开始询问当时还是微软员工的 Moussouris，如何为他们的浏览器创建漏洞赏金计划，因为浏览器是用旧的遗留代码编写的。

当时，人们每年向 [email protected] 发送超过 25 万到 30 万封电子邮件，免费报告漏洞，因此需要花些功夫才能让高管相信向黑客付费是值得的。2012 年，Moussouris 推出了微软 BlueHat 漏洞缓解进步奖，该奖项在 2012 年为漏洞修复支付了 26 万美元。

[相关：你需要保护自己免受零点击攻击]

如今，这些数字还在继续上升。苹果的最高赏金为 100 万美元。谷歌表示，他们在 2020 年支付了 670 万美元的漏洞赏金。区块链技术公司 Polygon 为发现一个关键漏洞支付了 200 万美元的赏金，该漏洞可以让攻击者将他们提取的加密货币数量翻倍。

但这些高额数字掩盖了真相，即大多数漏洞赏金都接近 200 美元而不是 2,000 美元，而且大多是由生活成本低得多的外国年轻人追捕，通过 HackerOne（Moussouris 曾担任其首席政策官）和 BugCrowd 等零工经济公司进行撮合。

低薪零工大军

BugCrowd 是一家众包安全平台，将赏金猎人与公司联系起来。该公司的首席技术官 Casey Ellis 表示，他的公司是第一个提出在道德黑客和需要了解自身弱点的公司之间建立一个平台的公司。那是在 2013 年。“当时，人们无法理解黑客可能是好人，”他说。“而且人们并不像今天这样真正关心网络安全。网络安全已经从非常模糊的问题变成了餐桌上的谈资。”

截至 2022 年，已有 30 万人注册了 BugCrowd。虽然赏金猎人各式各样，但埃利斯表示，BugCrowd 的许多自由职业者都是来自印度、南美和菲律宾等地的 18-25 岁的年轻男性。

孩子们也经常向 BugCrowd 求助。埃利斯回忆说，一个十几岁的少年想出了如何破解学校午餐系统，以便在学校获得免费食物，然后找到了 BugCrowd，在那里他的技能可以得到更合乎道德的运用。

[相关：网络安全专家称 20 亿美元援助太少，也太迟了]

他说道：“寻找漏洞是一条越来越可行的职业道路。”

HackerOne 首席技术官兼联合创始人 Alex Rice 在一封电子邮件中写道：“对于大多数被评为中等严重程度的漏洞，我们的客户平均可获得 500 美元左右的报酬，比去年增长了 11%。”他和漏洞搜寻行业的其他从业者一样，预计这些报酬还会继续增加。

作为一名漏洞猎人很难谋生

安全研究员马特·泰特 (Matt Tait) 无法谈论他发现的大部分漏洞，因为他是在英国政府工作期间发现这些漏洞的。但他可以谈论的是，在西方国家，全职漏洞赏金猎人的稀缺性非常高。

“这些数字听起来很大，但当你深入研究细节时，你会发现它们实际上并不一定像看上去那么大，”他说。为了获得苹果最高的漏洞赏金，你需要找到影响 iOS 内部不同程序的多个漏洞。更不用说，目前还不清楚苹果是否曾经发放过如此巨额的赏金。

他说道：“我从未听说过网络安全领域有人为了钱而辞去原有工作，成为全职漏洞赏金计划人员。”

这正是穆苏里斯所担心的。“在这个生态系统中，你想要的是能够吸引和留住愿意为你内部工作的员工，而不是以越来越高的价格外包一次性的小工作，”她说。

[相关：了解全球芯片短缺，一场涉及微小部件的大危机]

虽然一次性支付看起来不错，但 Moussouris 表示，公司最终会因为价格昂贵而无法聘请顶尖人才。当苹果开始提供百万美元赏金时，Moussouris 就警告过他们这一点。“坦率地说，[赏金] 对他们没有帮助。去年他们的零日漏洞数量最多，比 Android 还多，”她说。

穆苏里斯和埃利斯都认为，漏洞赏金猎人往往集中在较不富裕的国家，在那里，一美元可能能带来更多收益。“我们是一个更大生态系统的一部分，”穆苏里斯说，他呼吁人们以批判的眼光看待漏洞赏金平台的劳动实践。“我们在其中一个角落所做的事情将极大地影响生态系统的其余部分。”

更正于 2022 年 1 月 13 日：本文已更新，修复了两处 Katie Moussouris 名字的拼写错误。