公司可能會提供豐厚的回報，但現實情況是，較小的支出通常是常態。這就是它的工作原理。

那一年是 2016 年，Hack the Pentagon 剛剛成為聯邦政府的第一個漏洞賞金計劃。該計劃向 1,400 多名駭客開放後僅僅13幾分鐘，其中一名駭客就發現了第一個軟體漏洞。高達138 份報告和 75,000 美元之後，該計劃被認為是成功的。

漏洞賞金——組織向報告與安全漏洞相關的軟體漏洞的人提供的資金——在此後的幾年裡才變得更加主流。賞金獵人的數量已經廣泛擴大，對於少數能夠捕捉到公司願意支付數百萬美元的複雜、有價值的安全漏洞的人來說，尋找賞金的獎勵增加了五倍。但是，雖然桌面上有很多錢，但支出往往仍然很低，並且您的平均漏洞賞金獵人可能會因發現漏洞而獲得約 250 美元的報酬。

凱蒂·穆蘇里斯（Katie Moussouris）是微軟自己的漏洞賞金計劃的前任僱傭駭客和先驅，她擔心的不僅僅是駭客攻擊五角大樓，還有漏洞賞金領域的變化方式。“他們一開始就選擇從現金獎勵計劃開始，這違背了我的建議，”曾擔任駭客攻擊五角大樓計劃顧問的穆蘇伊斯說。“你需要在走路和跑步之前爬行。”

對於 Moussoris 來說，漏洞賞金是她認為五角大樓還沒有到位的整個系統的可選附加元件。雖然報告錯誤是一回事，但 Moussouris 認為，在向自由職業者發放支票簿之前，組織應該關注的實際調查工作是找出問題的技術根源、修補它並測試該補丁。很長一段時間以來，她一直在對漏洞賞金以及她所說的行業中的剝削勞工行為發出警告。

今天，當您聽到有關駭客發現軟體漏洞並獲得獎勵的訊息時，這就是現代漏洞賞金計劃在起作用。以下是對該系統的瞭解——以及一些專家所說的問題。

漏洞賞金簡史

在 90 年代中期，只有一家公司認為適合為漏洞發現提供獎勵：Netscape，早期廣泛使用的網路瀏覽器的創造者。直到 2010 年，500 美元的獎金幾乎仍然是行業標準，當時谷歌提供了 1,337 美元作為他們的最高漏洞賞金數字。這個數字在駭客語中拼寫為“leet”，是精英的縮寫，作為對駭客的一個小小的內幕提示。

這種新產品提高了軟體公司的賭注。Mozilla很快將他們的賞金提高到了 3,000 美元，因此 Google 將他們的賞金提高到了 31,337 美元（用駭客的話來說是“精英”），微軟開始詢問當時是微軟員工的 Moussouris，為他們的瀏覽器建立漏洞賞金會是什麼樣子，這是用舊的遺留程式碼編寫的。

那時，人們每年向[email protected]傳送超過 250,000 到 300,000 封電子郵件以免費報告錯誤，因此需要採取一些措施來說服高管們相信付費駭客是值得的。2012 年，Moussouris 推出了 Microsoft BlueHat Prize for Advancement of Exploit Mitigations，該獎項在 2012 年為漏洞支付了260,000 美元。

今天，這些數字繼續上升。蘋果的最高賠付為100 萬美元。谷歌表示，他們在 2020 年支付了670 萬美元的漏洞賞金。區塊鏈技術公司 Polygon 支付了200萬美元的獎勵，用於發現一個嚴重漏洞，該漏洞可以讓攻擊者將他們提取的加密貨幣數量翻倍。

但是這些高數字掩蓋了事實，即大多數漏洞賞金接近 200 美元而不是 2,000 美元，並且主要是由生活成本低得多的外國的年輕人追捕，由像這樣的零工經濟公司斡旋HackerOne（Moussouris 曾任首席政策官）和 BugCrowd。

一支低收入的零工大軍

將賞金獵人與公司聯絡起來的眾包安全平臺 BugCrowd 的首席技術官 Casey Ellis 表示，他的公司是第一個提出在道德駭客和需要知道自己易受攻擊的公司之間建立一個平臺的想法的公司。那是在 2013 年。“當時，人們無法接受駭客可以成為好人的想法，”他說。“而且人們並不像今天那樣真正關心網路安全。它已經從非常晦澀難懂變成了餐桌上的談話。”

截至 2022 年，已有 300,000 人註冊了 BugCrowd。雖然賞金獵人有各種形狀和大小，但埃利斯說，BugCrowd 許多自由職業者都是來自印度、南美和菲律賓等地的 18 至 25 歲的年輕男性。

孩子們也一直在聯絡 BugCrowd。埃利斯回憶起一位青春期前的孩子，他想出瞭如何破解他的學校午餐系統以在學校獲得免費食物，然後才找到了前往 BugCrowd 的路，在那裡他的技能可以更符合道德的部署。

“尋找漏洞是一條越來越可行的職業道路，”他說。

在一封電子郵件中，HackerOne 首席技術官兼聯合創始人亞歷克斯·賴斯（Alex Rice）寫道，“我們客戶的大多數中等嚴重性漏洞的平均支出約為 500 美元，比去年增長了 11%。” 與其他漏洞搜尋行業的人一樣，他預計這些支出會繼續增加。

作為一個蟲子獵人很難謀生

安全研究員 Matt Tait 無法談論他發現的大部分漏洞，因為他是在為英國政府工作時發現的。但他可以談論的是，在西方國家很難找到全職的漏洞賞金獵人。

“這些數字聽起來很大，但當你深入研究細節時，它們實際上並不一定像看起來那麼大，”他說。為了獲得 Apple 的最高漏洞賞金，您需要找到影響 iOS 內部不同程式的多個漏洞。更不用說蘋果是否曾經授予過這些非常大的賞金還不清楚。

“我從未聽說過網路安全領域的任何人為了錢而辭去工作成為全職的漏洞賞金者，”他說。

這正是穆蘇里斯所關心的。“你在這個生態系統中想要的是能夠吸引和留住那些在內部為你工作的員工，而不是為了一次性的少量工作以越來越高的價格外包，”她說。

雖然一次性支付可能看起來不錯，但穆蘇里斯表示，公司最終會因無法僱用頂尖人才而付出代價。當蘋果公司開始提供百萬美元的賞金時，穆蘇里斯就警告過蘋果公司。“坦率地說，[賞金]並沒有幫助他們。他們去年的零天數最多，超過了 Android，”她說。

Moussouris 和 Ellis 一致認為，漏洞賞金獵人往往集中在不太富裕的國家，美元可能會走得更遠。“我們是一個更大的生態系統的一部分，”穆蘇里斯說，他呼籲人們對漏洞賞金平臺的勞動實踐培養批判性的眼光。“而我們在其中一個角落所做的事情將極大地影響生態系統的其他部分。”