據(jù)國外媒體報道，美國國家安全局（NSA）上周曾表示，超過90%時間里，一旦該機構發(fā)現(xiàn)計算機軟件漏洞，就會告訴美國的科技公司。但這種陳述具有誤導性，因為據(jù)部分現(xiàn)任和前任美國政府官員透露，NSA通常會先利用這些漏洞先發(fā)起一波網(wǎng)絡攻擊。之后NSA才會將漏洞告訴科技企業(yè)讓他們解決問題以及向客戶提供程序升級。

美國關于“零日漏洞”的政策目前具有較大爭議，對于黑客和間諜人員而言，這些嚴重的軟件漏洞都是非常有價值的，因為在漏洞尚未披露之前是沒有任何防御措施的。

最著名的“零日漏洞”案例是Stuxnet蠕蟲病毒，該病毒是由NSA及其以色列同行共同開發(fā)，用以入侵伊朗核項目及破壞進行鈾濃縮活動的離心機。

在2010年該病毒被發(fā)現(xiàn)之前，Stuxnet利用微軟和西門子公司軟件中此前未知的漏洞，在不觸發(fā)安全程序的情況下神不知鬼不覺地入侵到設施中。

目前已經(jīng)形成了一個活躍的地下市場，專門進行“零日漏洞”的買賣，根據(jù)2013年路透社的報道，NSA就是全球最大的漏洞買家。該機構還通過自己的網(wǎng)絡項目發(fā)現(xiàn)漏洞，并利用部分漏洞來入侵到海外的計算機和電信系統(tǒng)，籍此完成自己主要的間諜任務。

考慮到發(fā)現(xiàn)漏洞的難度以及目標軟件的普及程度，部分“零日漏洞”的價值相對較高。部分漏洞的售價最低僅為5萬美元，而一位知名的“零日漏洞”中介本周透露，他已經(jīng)同意向一個團隊支付100萬美元，以獲得他們所設計的一種入侵已全面升級的iPhone的途徑。Zerodium公司的Chaouki Bekrar稱，這種iPhone技術“可能只會出售給美國客戶”，包括政府機構以及“非常大型的企業(yè)”。

政府官員稱，將“零日漏洞”用于攻擊還是披露給科技公司及客戶用作防范目的，這兩者間存在“天生的”沖突。

在斯諾登事件以及路透社發(fā)表有關NSA付費讓安全公司RSA在軟件中加入后門后，一個白宮的審查小組建議政府的政策應該更傾向于防御。

NSA則在其網(wǎng)站上表示，理解這種將大部分漏洞用以防御的需要。“在大部分情況，負責任地披露最新發(fā)現(xiàn)的漏洞顯然是符合國家利益的。”

“但是對于披露漏洞的決定，也存在合理的利與弊，立即披露與在一定時間內隱瞞所知情況這兩者之間的權衡，可能導致非常嚴重的后果。”

“披露漏洞可能意味著，我們放棄了一個收集重要的外國情報的機會，這些情況可能幫助阻止恐怖襲擊、國家情報外泄或泄露更多危險的漏洞。”