作為一個漏洞獵人，向供應商披露他們的發現(而不是將信息出售給出價最高的人)，這已經是許多具備道德的黑客的目標。

[[322254]]

在供應商開始為漏洞信息付費之前，黑客所希望的最好的是有一份報酬豐厚的工作，比如進入大公司。但是現在，很多供應商和服務提供商都擁有一個官方的漏洞披露平臺/機制，有的是在內部運行，有的是由第三方管理，并為提供新發現的安全漏洞報告發放漏洞賞金。

隨著大量的漏洞賞金計劃施行，偶爾賞金還會達到數萬或數十萬美元，這些因素導致許多黑客將全部精力集中在尋找漏洞上，成為全職漏洞獵人。

這時候，也有一些正在猶豫是否轉成全職的人，不知道自己是否適合這種生活/工作。

全職漏洞獵人并不適合所有人

“對于一個已經擁有穩定、高薪的工作并且可能有幾個孩子的人來說，將挖洞作為全職工作并不是最好的選擇。”

原因是，這個工作需要花費大量的精力(學習)和時間。比如要閱讀文檔、學習編寫自己的工具、閱讀安全文章、花時間在研究上、學習編寫報告，應用合適的戰術等。除非你為此做好了準備，否則可能難以堅持。

此外，全職漏洞獵人要有自己的獨立的思維方式，可以嘗試從不同的人身上獲取一點知識和技能，然后自我消化分析，再把它們整合到自己的工作流程中，適合自己的是最好的。

Santiago Lopez，一位來自阿根廷的年輕人，他在一年前成為首位通過HackerOne 漏洞賞金平臺獲得超過100萬美元賞金獎勵的漏洞獵人，他指出，“浪費時間”是一個全職漏洞獵人必須考慮到的問題。他的意思是，有時你經過很長時間的努力才挖到一個漏洞，正滿懷激動，結果發現這個漏洞已經在幾天或是幾小時之前就已經被其他的黑客發現了，這種時候，第二個發現漏洞的人基本不會獲得任何獎勵。

有抱負的漏洞獵人，應該學會處理好以上這些會面臨的問題，保持持續的好奇心和挖洞的渴望。

如何轉行

這里介紹了三個全職漏洞獵人，他們每個人進入這一崗位的路線軌跡都不一樣，但是相對具有代表性。

Lopez是最直截了當的：他在15歲時就開始做黑客，16歲時獲得了第一筆漏洞賞金，此后，他報告了1600多個安全漏洞。事實上，挖洞就是他的第一份工作。

DeVoss：同樣從小開始成為黑客，但是他的生活有更多的波折。他會在

在學校的時候，他會在十分鐘之內完成工作，然后將剩余的時間都花費在玩電腦上。在他10歲或11歲的時候，偶然發現了一個聊天室，里面的成員教會了他如何hack。當時，他只是出于好玩而做，高中的時候，他和朋友一起闖入了政府安全系統，被捕后，他在監獄中度過了4年時間，當時別人告訴他，還有下次，他就出不來了。對DeVoss來說，漏洞賞金計劃是一件好事，因為他可以繼續他所鐘愛的愛好，同時在法律的允許下。

Cosmin，在成為漏洞獵人之前，他從事軟件開發的工作。當時，他和同事被允許選擇一個活動或課程來拓展技能。他就去參加了一次黑客研討會，并在那里發現了漏洞賞金平臺的存在。后來，他選擇全職挖洞。

全職挖洞的利與弊

如果你做得好，錢就多。

如果一個人實際上每周工作40個小時并且非常出色，那么他們每年就可以輕松賺到7位數。比如DeVoss現在每月工作約10-40個小時，去年他有了903000美元的收入。其中，他獲得的單個漏洞的最高賞金約為28000美元，而他最高的單日支出約為18萬美元。

一個全職漏洞獵人一年可以賺多少錢沒有上限，但最終的金額將取決于運氣、時機和經驗。

在像HackerOne這樣的平臺下作為漏洞獵人工作的最大的優勢是可以在需要時工作，并且可以根據需要和時間隨意休假，還有就是得到平臺的相應服務和賞金保障。當然，也有缺點，比如沒有固定的工資，有些月份的收入可能比另一些月份差，然后社會隔離也可能是一個問題，不接觸外界，工作時間表紊亂等。

挖洞的未來

Lopez認為，對于那些不想遵循傳統的公司職業道路并且希望擁有工作靈活性的人來說，黑客永遠是一個很好的機會。

隨著公眾對黑客的了解的增加，利基市場肯定會變小，并為黑客們帶來更多的競爭(漏洞平臺上的黑客數量越來越多)。

同時，隨著萬物互聯，但構建物聯網設備的公司仍未將安全放在優先位置，這一事實造成了巨大的威脅面。更多的安全捍衛者加入一定是好事，我們能夠看到更專業的編程，更大的攻擊面和更高的回報。也可以看到在競爭中挖洞行業健康發展的趨勢。

最后的建議

在社交媒體上關注黑客或加入黑客論壇是黑客(白帽子)學習和交換思想、信息的好方法。不過，最好不要從一開始就選擇成為一名全職的漏洞獵人。

• 首先要確保知道自己在做什么，因為黑客的學習曲線非常陡峭。尤其是在開始階段。
• 其次，在轉為全職挖洞工作之前，至少要有半年或一年的兼職漏洞獵人經驗，這一點很重要。
• 最后，你還應該處于財務穩定的狀態，或者是一個沒有太多開支(家庭負擔等)的年輕人。