在無數個向廠商提交漏洞的日子里， 以下的場景你是否似曾相識?

• 被廠商“白嫖”：“這根本不是一個漏洞!” 但當你再次復查時，發現漏洞已經被修復。
• 被廠商的威脅：“這就不是一個洞，但你敢公開的話就試試看!”
• 被廠商誤會：“你知道這樣是違規披露漏洞嗎?我會報警的!......” 然后你真的就被邀 “喝茶”了。
• 被廠商“占便宜”：“不好意思，今日起，這類漏洞的獎金減半!”

近幾年，白帽子私曝漏洞的事件頻發，在業界引起了不小的波瀾，在告知白帽子私曝漏洞的行為會有觸犯法律的風險，呼吁白帽子加強法律意識之際，好像沒有人去深究白帽子選擇私曝漏洞的原因，也沒有人問過他們，“為什么你要違規披露漏洞?”。

為了一探究竟，筆者采訪了四位來自不同團隊、不同背景的白帽子，了解這個群體選擇私曝漏洞背后可能的原因。

答案似乎很一致：炫技、法律意識不強、由于誤會和廠商起了沖突所以一氣之下公布漏洞……這三點是造成白帽子私曝漏洞的常見原因，其中第三點很可能是最主要的原因。

“不承認漏洞就算了，他們還威脅我!你敢信?”

被誤會的月神：2017年，我在提交了某個互聯網新聞平臺的漏洞后，立馬接到了廠商的電話， “你到底是誰，你是不是要攻擊我們，如果你敢亂來，我們就要報警了”，和對方解釋了半天，我才發現對方根本不是該廠商SRC的對接人，只是該平臺的業務人員，并且其對白帽子這一群體的性質并不了解。

被“白嫖”的Balis0ng：遇到過一些廠商，對我提交的漏洞報告置之不理，過了幾天我再去檢測，發現漏洞已經被修復了……我還遇到過向廠商連續提交了兩個漏洞，但廠商SRC對接人表示經過開發人員鑒定，認為這兩個漏洞是同一個漏洞的情況，我也是很無語。

被威脅的小七：2018年，在提交了某大廠的漏洞后，我接到了廠商的來電，他們不但不承認這是一個漏洞，還威脅我，“如果將漏洞公開，你以后不好找工作吧?”，不承認漏洞就算了，他們還威脅我!你敢信?

被“教育”的遠海：在一周內提交了某教育平臺的6個系統漏洞后，我被使用該教育平臺的廠商運維人員“教育”了一頓。應該是一下子提交了太多的漏洞，耽誤運維人員下班了，所以當時廠商的運維人員還特地通過ID找到我，把我說了一頓。

被誤會可以選擇解釋、被“教育”可以選擇體諒、可是當被“白嫖”和威脅時，白帽子也只能選擇自認倒霉嗎?“是的，沒錯，遇到了也就只能自己吃了這個虧，也沒有任何辦法，但是好在大多數正規的廠商，不會這樣對我們”，Balis0ng說道。

接受采訪的這四位白帽子，在向廠商提交漏洞時，均吃過不少“啞巴”虧，即使在廠商不愿意承認他們提交的漏洞時，他們也從來沒有想過要私曝漏洞，究其原因，是他們對正義那顆初心的堅守，也是因為他們深知，這種行為不但會將本來有理的他們推向無理的邊緣，他們還要承擔被追究法律責任的風險。因此，要從根本上避免白帽子私曝漏洞事件的發生，除了法律法規的完善和普及，還需要各大廠商一同努力。

“隨著法規的完善和行業的成熟，我相信私曝漏洞的行為會越來越少”

《中華人民共和國網絡安全法》規定，開展網絡安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息，應當遵守國家有關規定。隨著《網絡安全漏洞管理規定(征求意見稿)》的出臺，有關網絡安全從業人員的相關行為規定更加明確和細化：第三方組織或者個人不得在網絡產品、服務提供者和網絡運營者向社會或用戶發布漏洞修補或防范措施之前發布相關漏洞信息，不得發布和提供專門用于利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具。一般情況下，發現漏洞后，第三方組織或者個人可以將相關漏洞報送給CNNVD或CNVD，CNNVD或CNVD將會在5個工作日內予以確認回復，并通知廠商在90/10天內修復，廠商采取漏洞修補或防范措施后再予以公開。

《網絡安全漏洞管理規定(征求意見稿)》的發布，是為了規范網絡安全漏洞報告和信息發布行為，同時督促相關廠商、第三方及運營方及時應對漏洞問題，這是在《中華人民共和國網絡安全法》的基礎上，法制體系進一步完善的體現。

“隨著該規定的出臺，能有效減少白帽子因為炫技或者法律意識不強而私曝漏洞的行為。”

接受采訪的四位白帽子均認為，《網絡安全漏洞管理規定(征求意見稿)》能起到規范行業行為和保障行業健康發展的作用。

“從大學的硬性教育作為突破口，是一個不錯的選擇。”

據遠海透露，有關網絡安全法知識的課程，在他的學校目前是以選修網課的形式開展的，而那些沒有選修該課程的學生，可能對哪些行為會觸犯法律并不清晰，隨著我國網絡安全市場越發活躍以及相關法律法規陸續出臺，他認為從大學的硬性教育作為突破口，是一個不錯的選擇。

“建立漏洞仲裁機制，有助于減少白帽子和廠商之間的‘扯皮’事件。”

隨著騰訊、百度、阿里、華為、深信服、滴滴等各大廠商安全應急響應中心的機制日漸完善，越來越多的白帽子更傾向于向廠商直接提交漏洞，一是因為廠商一般會優先處理在自己平臺上提交的漏洞，二是因為直接向廠商提交漏洞，白帽子能獲得更多的回報。Balis0ng也談到：“現在各大廠商也越來越重視白帽子的貢獻，比如2020年，騰訊首次推出了百萬獎金池，單個漏洞額外獎勵最高可達20萬元;深信服前不久升級了獎勵機制，單個漏洞稅后最高獎勵金額有50萬元;滴滴于2021年增加了年度獎勵規范中獲獎金的名額，年度排名第一的白帽子可獲得8萬元獎勵。”

“很多大廠還是很有誠意的，其實我們也感受的到，所以我們現在也比較傾向于向廠商直接提交漏洞”，Balis0ng說道。但是直接向廠商提交漏洞，白帽子有時候也會面臨一些問題，比如當廠商駁回漏洞時，白帽子就只能在“守法等于吃虧”和“暴洞等于犯法”之間選擇嗎?

Balis0ng認為，如果可以在業內建立漏洞仲裁機制，當白帽子與廠商因為漏洞鑒定出現爭執時，第三方機構可以介入仲裁，那將能有效減少白帽子因為廠商駁回漏洞而違法披露的行為。

總結

在網絡世界，如果說惡意黑客是矛，利用系統或軟件的漏洞，非法入侵并獲取利益，那白帽子就是盾，他們選擇用技術來保護網絡安全，他們需要比惡意黑客跑的更快，他們發現的漏洞越多，網絡世界也就更安全，但相比惡意黑客的“張揚”，他們的事跡卻鮮有人知，他們更像是隱世高手，低調地大戰四方。雖然有時候他們會被誤解，有時候他們的付出沒有得到應有的回報，但是他們還是堅守了自己的初衷，做正義的事情。

接受采訪的四位白帽子均表示，隨著行業的發展和規范，目前白帽子群體遇到的一些困境都會得到有效的解決，同時他們也呼吁白帽子從保護自己的角度出發，依法披露漏洞，不要因為一時氣憤讓自己面臨觸犯法律的風險并帶上“無理”的枷鎖。