“非常感謝提交漏洞和對(duì)XXXX的支持，我們已第一時(shí)間將漏洞修復(fù)完畢，并抓捕了你”。看過(guò)這么一句話，你會(huì)不會(huì)莞爾一笑？對(duì)了，還有一條表情包的內(nèi)容是這樣的“我有烏云保護(hù)，日你網(wǎng)站怎么了，不僅日你網(wǎng)站還拖你褲子……怎么了”。大家又樂(lè)呵了一把。

昨天一條信息引爆了國(guó)內(nèi)的信息安全行業(yè)，某廠商報(bào)案把某平臺(tái)上一個(gè)提交漏洞的技術(shù)人員給抓了，行業(yè)兩派的爭(zhēng)議不斷，互相鄙視，程度遠(yuǎn)遠(yuǎn)超過(guò)了當(dāng)年Windows陣營(yíng)對(duì)Mac陣營(yíng)。“白帽子”派（我們姑且這么叫）是說(shuō)廠商太無(wú)恥，我們好心給你們提漏洞，你們居然敢這么對(duì)我們，你們要像其他廠商學(xué)習(xí)，人家不只快速修復(fù)，還有獎(jiǎng)勵(lì)；“親廠商”派說(shuō)你們明確觸犯了刑法，未得到授權(quán)，泄露了信息，把一個(gè)單純的技術(shù)漏洞硬是利用到了公關(guān)層面，公開(kāi)數(shù)據(jù)公開(kāi)細(xì)節(jié)，對(duì)企業(yè)造成了極大的負(fù)面影響。

我并不想就本身的事件進(jìn)行任何的重復(fù)，我碼這段文字是因?yàn)槲野l(fā)現(xiàn)大家沒(méi)有意識(shí)到，要爭(zhēng)論的根本問(wèn)題是什么。白帽子和漏洞平臺(tái)到底想要達(dá)到什么樣的訴求，廠商到底想要達(dá)到什么樣的訴求，以及最終能通過(guò)什么樣的渠道去解決。

大家喜歡用一句話來(lái)說(shuō)明問(wèn)題“不忘初心，方得始終”，這似乎是一把尚方寶劍，放到哪都能用，都是權(quán)威，說(shuō)了這句話我們就無(wú)敵了，任何傷害反彈。好吧，我們按照這個(gè)思路來(lái)說(shuō)明一下問(wèn)題。漏洞平臺(tái)的初衷和白帽子的初衷是什么？我暫且先用這么一句話來(lái)代表白帽子描述——

“我們有著足夠強(qiáng)大的技術(shù)力量能夠幫助企業(yè)發(fā)現(xiàn)問(wèn)題，并協(xié)助企業(yè)解決問(wèn)題。也希望企業(yè)能夠信任我們，支持我們的行為。我們并不求任何回報(bào)，不過(guò)有一定的回報(bào)我相信我們能配合的更深入更好。”

我覺(jué)得這個(gè)初心沒(méi)有任何問(wèn)題，這個(gè)社會(huì)一定有很多人心存善意，愿意打造一個(gè)和諧互助的環(huán)境。但是一個(gè)巨大的攔路虎在哪里：刑法兩次的修正案都明確定性了，未授權(quán)入侵檢測(cè)，獲取了數(shù)據(jù)，尤其是在傳播的情況下明確屬于違法行為。這些條文大家能看出來(lái)，防君子不防小人。一個(gè)國(guó)家需要這么一批有能力的人，但是又不希望是完全不可控的，所以立了法，沒(méi)有傷害沒(méi)人追究就持觀望態(tài)度，一旦事情鬧大有了負(fù)面影響，不打擊是不可能的了。

任何一個(gè)個(gè)體抗風(fēng)險(xiǎn)能力為0，你的善心在尚未得到驗(yàn)證之前是不被認(rèn)可的，說(shuō)抓也就抓了。于是出現(xiàn)了一些漏洞平臺(tái)，他們有一些官方層面的認(rèn)同和合作，有些事情就有了溝通渠道。這時(shí)候，白帽子群體的共同訴求開(kāi)始進(jìn)行了轉(zhuǎn)變，他們希望“這種漏洞的發(fā)現(xiàn)和披露形式是合法合規(guī)且合理的”。也許掩蓋了一些魚目混雜的假白帽，但是大部分人還是希望能夠往好的方向發(fā)展。

這個(gè)過(guò)程中，形式確實(shí)發(fā)生了一些變化，執(zhí)法部門加入了嘗試性的接觸和觀望態(tài)度，他們也不希望涉入太深；各企業(yè)也開(kāi)始了與各漏洞平臺(tái)試探性的合作。記住了，這些都是實(shí)驗(yàn)性質(zhì)的，誰(shuí)也沒(méi)有對(duì)此定型善或者惡，都想先通過(guò)行業(yè)的自我發(fā)展來(lái)進(jìn)行妥協(xié)和調(diào)整。

但是這種嘗試性的合作前期引起了誤解，最直接的體現(xiàn)是有少數(shù)一批白帽子們并沒(méi)有認(rèn)清形勢(shì)的發(fā)展，突然感覺(jué)良好，認(rèn)為漏洞平臺(tái)的實(shí)驗(yàn)性質(zhì)的合作就是合法，導(dǎo)致無(wú)限膨脹了。比如有白帽子認(rèn)為不給獎(jiǎng)勵(lì)就是有問(wèn)題，比如有白帽子認(rèn)為廠商在技術(shù)上不認(rèn)為是漏洞也是有問(wèn)題，甚至是這種問(wèn)題激怒了白帽子引發(fā)了“恐嚇”，“脫褲”，“刪數(shù)據(jù)”等過(guò)激行為（這是真實(shí)發(fā)生過(guò)的）。

前期沖突幾乎是一定的，可以預(yù)見(jiàn)的，因?yàn)闆](méi)有規(guī)則，沒(méi)有權(quán)威的機(jī)構(gòu)，只有民間自建的體系。記住了，所謂的和諧體系是一個(gè)初期妥協(xié)的產(chǎn)物，廠商對(duì)漏洞平臺(tái)的所謂合作，以及對(duì)白帽子們的認(rèn)同，這種微妙的合作關(guān)系非常脆弱，就如同一張窗戶紙，一捅即破。如果廠商覺(jué)得白帽子的行為不可控，所謂的提交漏洞對(duì)企業(yè)弊大于利，那么企業(yè)就會(huì)反彈，撕破那張紙，向有關(guān)部門施加壓力。相關(guān)部門壓力積累到一定量的時(shí)候，很多事情就扛不住了，心想給你們機(jī)會(huì)不好好珍惜，鬧得社會(huì)不安寧，看著心煩于是干脆一巴掌拍死得了。

我們回到最初的訴求，白帽子是希望自己的身份得到認(rèn)可，希望跟企業(yè)更好的合作。企業(yè)希望看到的是你真誠(chéng)的笑臉，而不希望看到你背到后面的手上拿著一把刀。尤其在這個(gè)已經(jīng)明確定義為不合法的法律社會(huì)，白帽子很多事情不能做，很多玩笑不能開(kāi)。你可以試想一個(gè)國(guó)家的領(lǐng)導(dǎo)人到勞苦大眾中視察，滿臉的笑親切的很，但是如果一個(gè)小攤販不識(shí)好歹，嘗試跟領(lǐng)導(dǎo)人勾肩搭背做兄弟狀，他離死也就不遠(yuǎn)了。領(lǐng)導(dǎo)人跟你勾肩搭背開(kāi)玩笑可以，你爬到他身上就不行。

上面說(shuō)的大家如果能理解，那么我們?cè)偻笞咭徊剑耗壳安缓戏ǎ磥?lái)能不能合法？如果未來(lái)都看不到希望，我覺(jué)得這個(gè)社會(huì)未免太黑暗了。同性戀在多少年前全球就不合法，但是到今天我們?cè)倏纯矗S多國(guó)家已經(jīng)明確立法支持合法，很多國(guó)家雖然沒(méi)有明確支持，但是也沒(méi)有明確反對(duì)了，這就是進(jìn)步這就是改變，這就是方向。所以，其實(shí)各大漏洞平臺(tái)都在做這樣的嘗試：

漏洞平臺(tái)越來(lái)越多，接入的廠商越來(lái)越多，跟相關(guān)部門的合作月來(lái)越多，白帽子越來(lái)越多切越來(lái)越能管控自己在一個(gè)合理可控的區(qū)域，那么整個(gè)生態(tài)體系的抗風(fēng)險(xiǎn)能力就強(qiáng)了，它就從一個(gè)黑暗面逐步進(jìn)化到臺(tái)前。

這難道不就是希望么？

有個(gè)觀點(diǎn)我還想說(shuō)一說(shuō)，白帽子之所以發(fā)生膨脹，漏洞平臺(tái)不能完全脫離干系，如果平臺(tái)沒(méi)有處理好跟廠商的關(guān)系，那么平臺(tái)必須對(duì)真正善意白帽子做好保護(hù)工作，比如漏洞如何披露，數(shù)據(jù)如何展示。白帽子沒(méi)有法律意識(shí)，漏洞平臺(tái)必須有法律意識(shí)，找相關(guān)的律師事務(wù)所合作，不只是保護(hù)平臺(tái)，也要保護(hù)好白帽子在做貢獻(xiàn)的同時(shí)自身是安全的。除此之外，給白帽子進(jìn)行一些規(guī)范，有所為有所不為，哪些紅線不能踩一定要先溝通好。否則，收漏洞時(shí)很開(kāi)心，披露時(shí)也很開(kāi)心，事情鬧的還挺大，出事了平臺(tái)說(shuō)跟我無(wú)關(guān)是不利于行業(yè)發(fā)展的。

最后，有利益的地方就有犯罪，有進(jìn)步的地方就有沖突。我們不要因?yàn)橐恍┨乩齺?lái)一棒子打死一個(gè)新方向的嘗試，我們?yōu)槿魏芜^(guò)激行為（不論是白帽子還是廠商）表示遺憾，我們還是希望呼吁所有人正確看待白帽子們的貢獻(xiàn)。電能電死人不代表我們就不用電，車能撞死人不代表我們就不開(kāi)車，電和汽車都是科技的產(chǎn)物，都是人類社會(huì)進(jìn)步的產(chǎn)物。我們應(yīng)當(dāng)給予適當(dāng)?shù)陌荩m當(dāng)?shù)睦斫猓m當(dāng)?shù)男蕾p。

幾點(diǎn)補(bǔ)充：關(guān)于這件事情本身，我跟平臺(tái)和企業(yè)方之前都深入接觸過(guò)，因此我也想再補(bǔ)充幾句：

1、白帽子未必做了傷天害理的事。對(duì)他而言，當(dāng)他在點(diǎn)擊“提交漏洞”按鈕的時(shí)候并不認(rèn)為跟往常有任何區(qū)別。只是報(bào)告漏洞，提供了一些證據(jù)，然后收到企業(yè)方的致謝以及小禮物。他知道自己并未做出任何破壞性的工作，相信廠商是理解的。

2、企業(yè)方的技術(shù)團(tuán)隊(duì)未必真要抓白帽子。大家想過(guò)沒(méi)有，所有企業(yè)內(nèi)部的安全技術(shù)團(tuán)隊(duì)成員其實(shí)就構(gòu)成了現(xiàn)在的所有漏洞平臺(tái)的白帽子團(tuán)隊(duì)，他們發(fā)現(xiàn)別人廠商漏洞的成就感遠(yuǎn)比發(fā)現(xiàn)自己公司的漏洞來(lái)得更強(qiáng)。某種意義上說(shuō)，雖然技術(shù)人員相愛(ài)相殺，但是某個(gè)層面上會(huì)達(dá)成一致，不至于通過(guò)法律途徑來(lái)解決。就好比小學(xué)生鬧矛盾，大家會(huì)鄙視“告老師”的那位小盆友。所以，不要鄙視廠商的技術(shù)團(tuán)隊(duì)。

最后，為什么會(huì)出現(xiàn)此類情況？我覺(jué)得兩種可能性比較大：

一是白帽子溝通過(guò)程中表達(dá)不當(dāng)（白帽子太不擅長(zhǎng)跟廠商打交道了，同學(xué)們啊）激怒了廠商；

二是廠商那邊有個(gè)“主戰(zhàn)派”，他們不一定懂技術(shù)，但是一定是公司相關(guān)權(quán)利部門，比如法務(wù)部／公關(guān)部之類的，當(dāng)然，最怕的是老板，最怕的是老板，最怕的是老板。一個(gè)暴燥如雷的老板會(huì)直接推動(dòng)事情的進(jìn)展。他們會(huì)喊出“犯我領(lǐng)土者，雖遠(yuǎn)必誅”的口號(hào)。強(qiáng)權(quán)確實(shí)在某些方面是有效的，至少氣勢(shì)上威懾住你。

所以，別怪白帽，別怪企業(yè)技術(shù)團(tuán)隊(duì)。大家多一些包容，把誤會(huì)一步一步地消除。