Shashank Kumar从七年级开始接触电脑黑客技术。最初，他非常喜欢黑进网站，对网站搞恶作剧——虽然他现在对此表示很后悔。后来他发现可以通过提交网站漏洞报告赚钱。在其名为@cyberboyIndia的官方Twitter上，他表示他已经赚得3万美元的“漏洞奖励”，抵得上一大笔在大学的开销。

 

这些天正值期末考试，这个19岁的青年本应该为此而死记硬背。但有许多个晚上，他发现自己很晚才醒，任由笔记本轰鸣作响，寻找像雅虎、PayPal、AT&T这些由大公司运营的软件漏洞。在Twitter上，Shashank统计了一下因发布漏洞报告而获得的奖励：从一顶免费的帽子，到一个新智能手机、到一张1500美元的支票。虽然赚来了钱，但对于他的学习成绩，这是一个致命的打击。

 

目前，有一股更大的潮流正横扫网络安全行业，Shashank就是这股潮流中的一个代表。不久前，谷歌宣称，他们正在改进他们漏洞奖励计划（即著名的Pwnium黑客大赛）的规则。谷歌取消了以往每年固定的、可观的270万美元现金奖励；如今，这个项目将会全年运营，奖金池上升到无限。虽然谷歌机智地保留了在任何时候取消这个项目的权利；但就某种意义上说，在这个项目里，金钱永流动。

 

谷歌扩大奖池，资金达到无限

 

如果谷歌想要保持它的竞争力，这种类似情况不太可能发生。过去漏洞奖励计划是一份没有正式奖励的工作，一封感谢信、一个在线公告、一件免费T恤、又或者是几百美元，这就是漏洞奖励计划所谓的奖励。但在过去的5年里，它们又意外地成为了商机——几乎所有的主流技术公司都有一个这样的部门，并且持续扩大规模，投入了比以往更多的资金。

 

重点在于，这种诸如Crowdcurity、Bugcrowd、Synack与HackerOne的新兴的网络公司，它们兴起后，各行各业就可以发布自己的漏洞奖励计划。目前，这一市场规模的扩大引人注目：近两年，各行业的漏洞奖励计划，其规模都在急剧增长，无论企业规模大小，都能让这些新兴网络公司为其搭建平台招募人员，且只需要以支付大笔资金作为酬报，让漏洞检测不再是一个只有大公司才能去做的事。

 

无尽战争中的新武器

 

“它改变了我们之前关于安全的看法。”Vimeo首席技术师、近期通过HackerOne发布漏洞奖励计划的Andrew Pile说道。“对我们来说，在机构内部从零开始建立这样一个项目将近乎是不可能的。”

 

Vimeo逐步成型的这几年里，偶尔也会收到有关系统漏洞的意见与建议，但每当要花钱解决这些问题时，Pile感觉不舒坦。“我们唯一能够感谢他们的方法是给他们免费的账号或是免费的T恤，但是这些东西不能真正鼓励最优秀的人才长期固定参与其中。”

 

像许多公司一样，Viemo也有鸡蛋相生问题（即它同时需要广大的和研究者使用技术，又需要研究者参与修复）。建立一个有诸多可信成员的团队，需要花很多钱。并且这些公司也不愿意公开账目，因为人们不了解、不信任，特别是一群与众不同、有时匿名的青少年黑客。

 

提供漏洞奖励的新兴公司建立信任与流动资金，充当着桥梁的作用，这样诸如Vimeo这类规模相对小的企业能够利用全球黑客资源。“酬谢是相当痛苦的；他们生活在世界各个角落，他们没有报税表，需要网络公司自行开具。”Pile说道。当HackerOne网站招募的黑客遇到问题时，HackerOne将要处理法律与后续进程问题。HackerOne通过处理账单、支付漏洞奖励，可以靠黑客们每笔奖励以外20%的委托手续费获利。

 

这样一个系统运行十分稳定，以至于那些可以处理他们自己项目的大型公司，诸如雅虎、Twitter，已经选择启用诸如HackerOne这样的第三方供应商运营漏洞奖励计划而不是在内部自出项目。“这种在漏洞上投入越来越多的硬件、软件的方法，就如同是给伤口贴创可贴一样，明显不奏效。我们还不如直接把这些查找并修复漏洞的任务给这些第三方公司，况且这一方法已经得到证实。”HackerOne风险投资家Bill Gurley说，“漏洞奖励计划不只防止了这些问题，更处理了这些问题。”

 

战胜欺骗

 

对于“漏洞猎手”，最大的风险在于，他们投入大量时间寻找漏洞，书写解释漏洞怎么运行、怎么修复漏洞的报告，却发现那个漏洞早已被“对手”发现，且“对手”抢先一步发布了漏洞报告。Shashank与他的朋友制作了在这一行业中找到“重复漏洞”时心境的讽刺漫画。