白帽子提交漏洞被抓，他們該如何衡量與平臺、廠商之間的關系？

雷鋒網按：本文作者趙武，白帽匯創始人，作者原定標題為《白帽子與漏洞平臺》。

“非常感謝提交漏洞和對XXXX的支持，我們已第一時間將漏洞修復完畢，并抓捕了你”。看過這么一句話，你會不會莞爾一笑？對了，還有一條表情包的內容是這樣的“我有烏云保護，日你網站怎么了，不僅日你網站還拖你褲子……怎么了”。大家又樂呵了一把。

昨天一條信息引爆了國內的信息安全行業，某廠商報案把某平臺上一個提交漏洞的技術人員給抓了，行業兩派的爭議不斷，互相鄙視，程度遠遠超過了當年Windows陣營對Mac陣營。“白帽子”派（我們姑且這么叫）是說廠商太無恥，我們好心給你們提漏洞，你們居然敢這么對我們，你們要像其他廠商學習，人家不只快速修復，還有獎勵；“親廠商”派說你們明確觸犯了刑法，未得到授權，泄露了信息，把一個單純的技術漏洞硬是利用到了公關層面，公開數據公開細節，對企業造成了極大的負面影響。

我并不想就本身的事件進行任何的重復，我碼這段文字是因為我發現大家沒有意識到，要爭論的根本問題是什么。白帽子和漏洞平臺到底想要達到什么樣的訴求，廠商到底想要達到什么樣的訴求，以及最終能通過什么樣的渠道去解決。

大家喜歡用一句話來說明問題“不忘初心，方得始終”，這似乎是一把尚方寶劍，放到哪都能用，都是權威，說了這句話我們就無敵了，任何傷害反彈。好吧，我們按照這個思路來說明一下問題。漏洞平臺的初衷和白帽子的初衷是什么？我暫且先用這么一句話來代表白帽子描述——

“我們有著足夠強大的技術力量能夠幫助企業發現問題，并協助企業解決問題。也希望企業能夠信任我們，支持我們的行為。我們并不求任何回報，不過有一定的回報我相信我們能配合的更深入更好。”

我覺得這個初心沒有任何問題，這個社會一定有很多人心存善意，愿意打造一個和諧互助的環境。但是一個巨大的攔路虎在哪里：刑法兩次的修正案都明確定性了，未授權入侵檢測，獲取了數據，尤其是在傳播的情況下明確屬于違法行為。這些條文大家能看出來，防君子不防小人。一個國家需要這么一批有能力的人，但是又不希望是完全不可控的，所以立了法，沒有傷害沒人追究就持觀望態度，一旦事情鬧大有了負面影響，不打擊是不可能的了。

任何一個個體抗風險能力為0，你的善心在尚未得到驗證之前是不被認可的，說抓也就抓了。于是出現了一些漏洞平臺，他們有一些官方層面的認同和合作，有些事情就有了溝通渠道。這時候，白帽子群體的共同訴求開始進行了轉變，他們希望“這種漏洞的發現和披露形式是合法合規且合理的”。也許掩蓋了一些魚目混雜的假白帽，但是大部分人還是希望能夠往好的方向發展。

這個過程中，形式確實發生了一些變化，執法部門加入了嘗試性的接觸和觀望態度，他們也不希望涉入太深；各企業也開始了與各漏洞平臺試探性的合作。記住了，這些都是實驗性質的，誰也沒有對此定型善或者惡，都想先通過行業的自我發展來進行妥協和調整。

但是這種嘗試性的合作前期引起了誤解，最直接的體現是有少數一批白帽子們并沒有認清形勢的發展，突然感覺良好，認為漏洞平臺的實驗性質的合作就是合法，導致無限膨脹了。比如有白帽子認為不給獎勵就是有問題，比如有白帽子認為廠商在技術上不認為是漏洞也是有問題，甚至是這種問題激怒了白帽子引發了“恐嚇”，“脫褲”，“刪數據”等過激行為（這是真實發生過的）。

前期沖突幾乎是一定的，可以預見的，因為沒有規則，沒有權威的機構，只有民間自建的體系。記住了，所謂的和諧體系是一個初期妥協的產物，廠商對漏洞平臺的所謂合作，以及對白帽子們的認同，這種微妙的合作關系非常脆弱，就如同一張窗戶紙，一捅即破。如果廠商覺得白帽子的行為不可控，所謂的提交漏洞對企業弊大于利，那么企業就會反彈，撕破那張紙，向有關部門施加壓力。相關部門壓力積累到一定量的時候，很多事情就扛不住了，心想給你們機會不好好珍惜，鬧得社會不安寧，看著心煩于是干脆一巴掌拍死得了。

我們回到最初的訴求，白帽子是希望自己的身份得到認可，希望跟企業更好的合作。企業希望看到的是你真誠的笑臉，而不希望看到你背到后面的手上拿著一把刀。尤其在這個已經明確定義為不合法的法律社會，白帽子很多事情不能做，很多玩笑不能開。你可以試想一個國家的領導人到勞苦大眾中視察，滿臉的笑親切的很，但是如果一個小攤販不識好歹，嘗試跟領導人勾肩搭背做兄弟狀，他離死也就不遠了。領導人跟你勾肩搭背開玩笑可以，你爬到他身上就不行。

上面說的大家如果能理解，那么我們再往后走一步：目前不合法，未來能不能合法？如果未來都看不到希望，我覺得這個社會未免太黑暗了。同性戀在多少年前全球就不合法，但是到今天我們再看看，許多國家已經明確立法支持合法，很多國家雖然沒有明確支持，但是也沒有明確反對了，這就是進步這就是改變，這就是方向。所以，其實各大漏洞平臺都在做這樣的嘗試：

漏洞平臺越來越多，接入的廠商越來越多，跟相關部門的合作月來越多，白帽子越來越多切越來越能管控自己在一個合理可控的區域，那么整個生態體系的抗風險能力就強了，它就從一個黑暗面逐步進化到臺前。

這難道不就是希望么？

有個觀點我還想說一說，白帽子之所以發生膨脹，漏洞平臺不能完全脫離干系，如果平臺沒有處理好跟廠商的關系，那么平臺必須對真正善意白帽子做好保護工作，比如漏洞如何披露，數據如何展示。白帽子沒有法律意識，漏洞平臺必須有法律意識，找相關的律師事務所合作，不只是保護平臺，也要保護好白帽子在做貢獻的同時自身是安全的。除此之外，給白帽子進行一些規范，有所為有所不為，哪些紅線不能踩一定要先溝通好。否則，收漏洞時很開心，披露時也很開心，事情鬧的還挺大，出事了平臺說跟我無關是不利于行業發展的。

最后，有利益的地方就有犯罪，有進步的地方就有沖突。我們不要因為一些特例來一棒子打死一個新方向的嘗試，我們為任何過激行為（不論是白帽子還是廠商）表示遺憾，我們還是希望呼吁所有人正確看待白帽子們的貢獻。電能電死人不代表我們就不用電，車能撞死人不代表我們就不開車，電和汽車都是科技的產物，都是人類社會進步的產物。我們應當給予適當的包容，適當的理解，適當的欣賞。

幾點補充：關于這件事情本身，我跟平臺和企業方之前都深入接觸過，因此我也想再補充幾句：

1、白帽子未必做了傷天害理的事。對他而言，當他在點擊“提交漏洞”按鈕的時候并不認為跟往常有任何區別。只是報告漏洞，提供了一些證據，然后收到企業方的致謝以及小禮物。他知道自己并未做出任何破壞性的工作，相信廠商是理解的。

2、企業方的技術團隊未必真要抓白帽子。大家想過沒有，所有企業內部的安全技術團隊成員其實就構成了現在的所有漏洞平臺的白帽子團隊，他們發現別人廠商漏洞的成就感遠比發現自己公司的漏洞來得更強。某種意義上說，雖然技術人員相愛相殺，但是某個層面上會達成一致，不至于通過法律途徑來解決。就好比小學生鬧矛盾，大家會鄙視“告老師”的那位小盆友。所以，不要鄙視廠商的技術團隊。

最后，為什么會出現此類情況？我覺得兩種可能性比較大：

一是白帽子溝通過程中表達不當（白帽子太不擅長跟廠商打交道了，同學們啊）激怒了廠商；

二是廠商那邊有個“主戰派”，他們不一定懂技術，但是一定是公司相關權利部門，比如法務部／公關部之類的，當然，最怕的是老板，最怕的是老板，最怕的是老板。一個暴燥如雷的老板會直接推動事情的進展。他們會喊出“犯我領土者，雖遠必誅”的口號。強權確實在某些方面是有效的，至少氣勢上威懾住你。

所以，別怪白帽，別怪企業技術團隊。大家多一些包容，把誤會一步一步地消除。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。