黑客，在多數(shù)人眼里是一種神級的存在。他們宅在屋里喝著可樂吃著漢堡，依靠鼠標和鍵盤就可以橫掃互聯(lián)網(wǎng)，賺錢對他們來說，就像碾死一只臭蟲那么簡單。

實際上，江湖傳言中確有一些一夜暴富，一月之間從捷安特換成蘭博基尼的黑客故事。但是這些黑客無一例外都在從事“黑色產(chǎn)業(yè)”。他們盜竊用戶的信息，破解用戶的銀行賬戶，把用戶的資金裝進自己的口袋。換言之，他們是不折不扣的罪犯。業(yè)內(nèi)人士告訴雷鋒網(wǎng)(搜索“雷鋒網(wǎng)”公眾號關注)，在網(wǎng)絡黑產(chǎn)興盛的最初幾年，確實有年入千萬，甚至上億的黑客。但這只是少數(shù)人，而且隨著國家對網(wǎng)絡犯罪的對抗力度越來越大，可以很清楚地看到“從事”這項犯罪的人排著隊鋃鐺入獄。

而我們要說的，是那些真正從事合法而且有意義的安全研究的“白帽子”黑客，他們更像是守護我們安全的“網(wǎng)絡特警”。雖然白帽子的收入不菲，但相比“黑帽子”，他們的收入仍然屬于“合理的范疇”。例如一個成熟的，可以和黑帽子及黑產(chǎn)進行對抗的白帽子年薪大概在30萬左右。

不過，一個牛X的白帽子，實際收入往往會高于這個數(shù)值，因為他們有很多途徑可以獲得“外快”。因為他們在做安全研究的時候，會發(fā)掘出諸多的“寶藏”——漏洞，而漏洞是“值錢”的。

“漏洞之王”到底能賺多少外快？

凡是有價值的東西，都可以進行交換。而白帽子發(fā)現(xiàn)的漏洞顯然非常有價值，所以漏洞平臺往往會以各種形式鼓勵白帽子提交漏洞。例如漏洞平臺烏云，會以晉升等級權限、積分榮譽加上一小部分獎金作為對白帽子的獎勵。而360旗下的補天漏洞平臺則更加“實惠”，一直以對白帽子的高額獎勵著稱。這兩種方式各有優(yōu)劣，烏云更有情懷，而補天更實誠。

最近，補天漏洞平臺發(fā)布了去年對白帽子的獎金數(shù)據(jù)。其中一名叫做“a0”的黑客在一年間竟然提交了將近1000個漏洞，這種非人的水平讓這位大牛當之無愧地成為了“漏洞之王”。

2015年，a0 總共提交了929個有效漏洞，其中被認定的精品漏洞有171個。即使是按照精品漏洞來算，也可以達到平均2天一個。根據(jù)補天平臺提供的信息，這位“賞金獵人”擒拿的漏洞，都是極其兇猛的“野獸”。

那么，這些漏洞究竟有多恐怖呢？稍微列舉一二：

某涉及各大運營商的通用漏洞，可能導致上億用戶信息泄露。

某涉及社保系統(tǒng)的網(wǎng)站漏洞，可能泄露幾千萬居民信息。

當然，這一級別的漏洞還有很多。補天平臺出于安全原因不會對外公布漏洞細節(jié)，所以沒有辦法確定這些漏洞具體是針對哪些系統(tǒng)。

憑借這些“野獸漏洞”，a0 拿到了90730元的現(xiàn)金獎勵。當然，這只是來自補天平臺的獎勵。作為一名低調的 IT攻城獅，這位大牛還有自己的主業(yè)。所以雖然獎金不菲，但這仍只是他的外快。

補天平臺負責人林偉告訴雷鋒網(wǎng)，僅僅是漏洞數(shù)量，還不會讓 a0 贏得這么多獎金。客觀上來說這些漏洞的質量還是很高的。林偉本身也是一名資深黑客的，在他眼里整個中國的黑客水平在國際上已經(jīng)位列第一梯隊。

有很多事實可以佐證他的判斷。從前不久舉辦的世界知名黑客大賽 Pwn2Own 的比賽結果來看，360Vulcan 團隊僅用11秒就攻破頂級難度的 Chrome 瀏覽器；來自騰訊的 Sniper 戰(zhàn)隊更是問鼎了賽事最高榮譽：世界破解大師，這些都是超一流的成績。

　　【中國黑客在頂級黑客賽事 Pwn2Own 上】

中國黑客整體實力越來越強，漏洞的含金量越來越高。這已經(jīng)成為一個值得我們驕傲的事實。

一個漏洞究竟值多少錢？

當然，之所以稱之為獎勵，其潛臺詞就是：對于某些人來說，這些漏洞的價值可能遠超過獎金。那么，這些漏洞對誰來說最有價值呢？價值又是多少呢？

舉一個不恰當?shù)睦樱?/p>

一個漏洞的身價可以和人來類比。人們說李彥宏的身價高，因為他可以調動的資源非常大，可以達成一般人不能達成的目標。而對于一個漏洞來說，它的價值取決于人們可以用它做多大、多NB的事。

不幸的是，如果拋開法律和道德，可以用漏洞做的最NB的事而幾乎都是黑色產(chǎn)業(yè)。我們可以思考以下的問題：

1、對于互聯(lián)網(wǎng)金融企業(yè)，它們的安全漏洞值多少錢呢？

360副總裁兼首席安全官譚曉生表達了擔憂：

很多企業(yè)對自己的網(wǎng)絡資產(chǎn)都不清楚。這些資產(chǎn)包括自己的域名、頁面。很多人甚至不清楚自己到底有哪些服務，以及這些服務跑在哪些服務器上。在這個問題上，黑客往往比企業(yè)更清楚，他們會研究企業(yè)所有的線上資產(chǎn)，然后找到最薄弱的環(huán)節(jié)突破進去。

這個突破口可能是網(wǎng)站幾年前的促銷頁面，也可能是由于疏忽忘記下線的測試功能。

舉個例子，補天平臺2015年在 P2P 行業(yè)就爆出了131個漏洞，而某個P2P平臺內(nèi)超過2000萬的資金賬戶就有20個，其中不乏超過1億元的賬戶。這樣漏洞百出的網(wǎng)站會導致可怕的后果：如果被黑客注意到，他們通過技術破解甚至可以做到直接提現(xiàn)到自己的賬戶然后拍屁股走人。

譚曉生說，雖然這種事情暫時沒有發(fā)生，但未來很可能會有P2P平臺因為信息安全問題而倒閉。

2、對于工業(yè)控制系統(tǒng)，它的安全漏洞值多少錢？

很早以前就有專家提出：理論上黑客可以通過漏洞入侵電力系統(tǒng)，造成電網(wǎng)大面積癱瘓，甚至基礎設施損壞。去年圣誕節(jié)前夕，在烏克蘭西部，這個預言變成了現(xiàn)實。安全公司微步在線向雷鋒網(wǎng)展示的資料顯示，這很可能是由俄羅斯背景的黑客組織“暗黑能源”精心策劃的一場攻擊。而來自知道創(chuàng)宇的工控安全專家王得金告訴記者，全球有數(shù)萬個工業(yè)設備直接暴露在互聯(lián)網(wǎng)上。而這些漏洞一旦被黑客巧妙利用，可能會造成不可估量的損失。

【CNN展示：黑客通過入侵工控網(wǎng)絡，讓設備過載起火】

3、盜取我們個人信息的漏洞值多少錢？

在證券、金融、電商等在線系統(tǒng)網(wǎng)站上，我們經(jīng)常要登記自己的賬號、密碼，銀行卡信息，身份證號、家庭地址。

一組震撼的數(shù)字足以說明問題：

2011年至今，全國已經(jīng)有將近20億人次的個人信息遭到泄漏，而僅僅根據(jù)補天平臺上的漏洞數(shù)據(jù)，目前還有55.3億人次的個人信息正暴露在黑客的槍口之下。

也就是說，你接到的所有詐騙電話、釣魚郵件、欺詐短信，根源都來自于這條產(chǎn)業(yè)鏈。

4、威脅國防安全的漏洞值多少錢？

美國國防合約商雷神公司近年來不斷收購網(wǎng)絡安全公司，包括黑鳥這類攻擊型的和 Websense 這類防御型的等等。而去年不斷被爆出的“海蓮花”、“暗黑客棧”等帶有政治色彩的黑客組織更是我們國防安全的重要威脅。而這些APT（高級持續(xù)性威脅）用來定向攻擊的武器正是高危漏洞。

　　【2015年 漏洞軍火商 ZERODIUM 發(fā)布的漏洞“牌價”】

經(jīng)過這些思考，相信你也會同意：上述的絕大多數(shù)漏洞，都已經(jīng)昂貴到無法定價。而這些領域的漏洞，都包含在白帽子的研究方向之內(nèi)。

包括微軟、谷歌在內(nèi)的科技巨頭都會提供數(shù)萬美元的“漏洞賞金”計劃，鼓勵黑客把自家的漏洞提供給自己。但是與此同時，在網(wǎng)絡黑市里，買主卻能輕易拿出十倍甚至更高的價格來購買這個漏洞。

當你看到成千上萬的白帽子沒有選擇去把漏洞賣到黑市，而是去提交給安全平臺獲取賞金。恰恰不是因為貪婪，而是因為無私。

有人形容白帽子“用自己的智慧，把無數(shù)可怕的信息災難化解在發(fā)生之前”，此言并不虛妄。

“漏洞之王”依然是普通人

如果你去了解白帽子的生活，你會發(fā)現(xiàn)即使是身為“漏洞之王”的 a0，也是利用自己的業(yè)余時間搜尋漏洞的“手藝人”。你也許會得出這樣的結論：白帽子不是神，他們并不會用鼠標和鍵盤印鈔。但他們的事業(yè)值得尊敬并且理應獲得金錢的獎勵。

相比之下，那些從事黑產(chǎn)的黑帽黑客雖然比 a0 賺得多不知多少倍，但他們卻永遠不能像 a0 一樣沐浴在人們善意的目光里，也永遠不能像 a0 一樣平靜地站在舞臺的聚光燈下。

“漏洞之王”雖然不善言辭，卻踐行了一個不言而喻的真理：

依靠自己的智慧合法地賺錢是這個時代最有尊嚴的生活方式。