“黑客團隊”(hacking Team)數據泄露事件之后的幾周里，從事漏洞及漏洞利用代碼買賣的小而隱蔽的公司就成了媒體聚光燈投射的焦點。Netragard，這類公司的其中之一，在它與“黑客團隊”的交易曝光之后便于本周宣布退出漏洞交易行業。但現在，這一領域迎來了新成員——Zerodium，其背后是幾個我們很熟悉的名字。

這家公司是由VUPEN創始人查烏奇·貝克拉成立的，他就是一漏洞及利用代碼經紀人，常處于這行當合法性和道德大討論的中心。VUPEN是漏洞交易領域里少有的幾家完全靠自己的研究和開發吃飯的公司之一，它不從外界購買漏洞或利用代碼。但現在，在這樣一個立法者、媒體和政府從未如此關注的時刻，貝克拉卻投入了完全從事漏洞及利用代碼購買的新冒險中。

Zerodium計劃專注于購買高危漏洞，不關心低端部分。它將使用購得的漏洞向客戶提供關于漏洞、漏洞利用代碼和防御措施的反饋。

公司網站上說：“ZERODIUM向安全研究人員提供豐厚報酬以購得他們發現的影響主流操作系統、軟件和設備的零日漏洞及漏洞利用代碼。現有漏洞獎勵計劃大多接受幾乎任何類型的漏洞和概念驗證代碼(PoC)，但只支付很少的報酬;ZERODIUM則不然，我們只關心有著功能穩定的利用代碼的高危漏洞，而且我們支付的酬金更高。”

Zerodium將尋求最常用平臺和應用上的漏洞和利用代碼，包括：Windows、OS X和Linux;4款主流瀏覽器;Flash和閱讀器;微軟Office套裝;安卓、iOS、黑莓和Windows Phone;主流網頁和電子郵件服務器。公司對谷歌或推特這種網頁服務上只能部分起效的漏洞不感興趣。

“ZERODIUM不購入理論上可利用或根本不可利用的漏洞。我們只針對有著完全可行的漏洞利用代碼的零日漏洞，包含一個或多個階段倒是無所謂，比如瀏覽器漏洞利用有或沒有沙盒繞過/逃逸步驟均符合要求。”

公司稱，會為尋求的漏洞和利用代碼支付高額報酬，但不會向生活在受聯合國或美國制裁國家的研究者購買。Zerodium沒有特別指出它服務的對象是哪種公司或組織，但貝克拉總是聲稱VUPEN只向非制裁國家的執法機構和政府客戶出售其漏洞。

我們只賣給民主國家。我們當然尊重國際規則，而且我們只出售給信得過的國家和民主政體，強權國家不在我們考慮范圍之內。

VUPEN運營著一個向客戶提供零日和其他類型漏洞的信息及利用代碼的訂閱服務。公司客戶中包括美國國家安全局。

對高端漏洞及利用代碼的需求絲毫不見減弱。世界各國的情報機構、司法機關和其他很多政府機構都在加強它們的攻擊性安全能力，而這些團隊運作的一個關鍵元素就是零日漏洞的利用。未公開漏洞常常作為司法調查和情報行動的一部分被用于突破目標系統，這也是3周前“黑客團隊”數據泄露之后變得更具爭議的司法實踐和情報操作方式。