據國外媒體6月23日報道，多年來，微軟一直拒絕為找出其軟件安全漏洞的研究者們提供金錢獎勵，盡管谷歌和Facebook一直都在逐漸提高所謂“漏洞獎金”項目的獎勵額度。現在這一軟件巨頭突然改變了想法——有時給出的獎金甚至高于后兩家競爭對手。

微軟上周宣布，愿意對關于Windows安全漏洞的信息支付最高10萬美元的獎金，就從本月末即將發布的Windows 8.1預覽版開始。對于能為阻止類似漏洞日后被利用而提供新防御技術的研究者們，微軟將為每份方案提供價值5萬美元的額外“防御獎金”。

“發現一個漏洞是極具挑戰性的，他們需要一項新技術。”微軟安全響應中心總監邁克 里維說，“所以要讓人們在這一領域費些腦筋的確需要高額獎金的激勵”。

除了這些10萬和5萬美元的大獎之外，微軟還將為影響IE 11預覽版的漏洞支付1.1萬美元，這項策略是為了在該軟件向消費者廣泛發布前修復漏洞。“(大多數公司)不會設獎尋找測試版軟件的漏洞，所以一些研究者就會守到軟件發布投產時才將漏洞公布。”微軟高級安全分析師凱蒂 牟索利斯在一篇關于漏洞獎金項目的博客文章中寫道，“對于我們及我們的客戶來說，這些漏洞總是發現得越早越好”。

與微軟相比，谷歌對發現其網絡應用中的漏洞僅提供了2萬美元的獎金，盡管該搜索公司的確曾在今年1月的一次大賽中對Chrome操作系統中的一個漏洞重獎15萬美元，并在前一年為Chrome瀏覽器中的漏洞支付了6萬美元。Mozilla公司為其軟件漏洞提供了3000美元獎金。Facebook提供的最低獎勵為500美元，但是沒有明確其上限。

那么微軟為什么現在才開始懸賞自己軟件中漏洞呢?里維表示，微軟一直通過第三方漏洞購買項目獲得越來越多的漏洞報告，這些項目包括惠普旗下的“零時差計劃”(Zero Day Initiative)和威瑞信(Verisign)的iDefense——后者購買漏洞的費用高達1萬美元并向軟件供應商報告漏洞。微軟還看到了一些賽事活動的影響，如一年一度的Pwn2Own黑客大賽——黑客們先是找到微軟產品的高級漏洞，然后再揭秘自己的技術，為此有時能獲得6位數的獎勵。

微軟之所以推出該項目，部分誘因也可能是：在由打算利用漏洞開展間諜或犯罪活動的政府以及黑市買家所構成的另一個圈子里，獎勵破解技術的力度不斷加大。根據去年3月我所做的一次采訪，一個影響Windows系統的有效漏洞能幫黑客從情報或執法機構那里賺得6萬到12萬美元不等，而一個能通過IE全面攻破一臺Windows電腦的漏洞可以賺到高達20萬美元。