2015年底，漏洞獎勵平臺HackerOne新任了一位CEO，荷蘭人馬特恩.米克斯。米克斯在世紀之交時任MySQL的CEO，8年之后離開赴任云計算公司Ecalyptus的CEO，該公司后被惠普收購。從惠普離開之后，米克斯出人意料的接受了HackerOne伸來的橄欖枝。

　　馬特恩.米克斯

上任三個月之后，在HackerOne宣布內測新的漏洞訂閱服務時，米克斯接受了知名黑客媒體 EI Reg 的采訪，這位科技精英對黑客經濟有著清晰、明確的想法，并對漏洞獎勵市場有著無比的信心。

下面是安全牛翻譯整理的采訪內容：

記者：為什么來HackerOne？從你的職業生涯來看，與之前的領域區別很大。

米克斯：我知道自己只能當CEO。我考慮了很多公司，他們都給我提供了機會，但HackerOne吸引了我。

有兩件事情是我喜歡做的，建立團隊和給市場帶來新的概念，這是吸引我的第一點。而且我相信黑客，把一件有意義的事交給他們做，更是一件令人興奮無比的事情。不只對這個世界有意義，還能具備商業潛力。我想讓世界更美好，也想有一個獲利豐厚的業務，利己與利他有時并不矛盾。

記者：HackerOne至今已付出600多萬美元的獎金，單個漏洞獎勵最多達到3萬美元。你們評定漏洞重要性的標準是什么，如何得到大數額的獎金？

米克斯：我們付出的獎勵主要看客戶付出多少錢，目前最大一筆的確是3萬美元。漏洞提交者是不提條件的，但客戶可以任意設置獎金數額，不過不能太低，否則白帽黑客下次就不會給你提交漏洞了。

我們有些研究人員提交了數百個漏洞，如果某個企業不公正的對待漏洞提交平臺，也許不會傷害到提交漏洞的白帽黑客，但安全社區口碑很重要，首先大家就不會再給這家企業提交漏洞，而且它的不良名聲會很快傳播開來。

在很長期一段時間，人們會依據廠商或企業給漏洞所付出的多少來判斷這家企業。在代碼的圈子里，終極的評判標準就是你在這個圈子做了什么，以及你如何看待優秀的代碼。

記者：對許多企業來說，花了很長的時間才認可漏洞眾測的這種模式。目前還有對這種模式持抵制態度的嗎？（編者注：此次采訪時，美國國防部邀請黑客對五角大樓進行眾測的消息還沒有公開）

米克斯：幾乎沒有了，而且就算有也不是一個問題。一個運作良好的生態系統意味著，只有付出好的價錢才能確保高水平的白帽子給你提交漏洞。但黑客有著不同的驅動力，經濟原因只是其中一部分。

得到認可是另一部分。找到一個漏洞，并為此而獲得承認是有意義的。它意味著好的工作機會，以及在這個圈子中的名氣。而且，智力上的挑戰也同樣重要。我們發現許多黑客并不一味追逐經濟上的收益，比如他們會把漏洞出售給商業公司，但卻拒絕收非營利組織和慈善機構的錢。

記者：有沒有你們不會與某個研究人員做交易的時候，或者說在做支付漏洞獎勵決定的時候，有沒有道德界線的因素在里面？

米克斯：這里是有一套行為準則的，但更大程度是自我控制的問題。要想成為社區的一員，必須要有好的意圖，心懷不軌的人是無法在這個社區呆下去的。

不過，我們還是有一套處理類似事情的機制。有時我們會聯系提交漏洞的白帽黑客，說企業的反饋并不順利，然后提出一些改善溝通的建議。另外一些時候，我們會對黑客說，你的確找到了漏洞，但違反了事先聲明的政策。

大多數的沖突來源于不懂英文的白帽子，或者在漏洞提交方面缺乏與企業打交道的經驗，或是企業認為漏洞的影響程度與漏洞提交者的看法不一致。

記者：HackerOne的漏洞列表是免費的，而你們也只從企業或廠商支付的漏洞獎勵中抽取20%，因此很大的業務收入也許將來自于你們新推出的漏洞訂閱服務，企業對這種新服務的接受程度是怎樣的？

米克斯：漏洞訂閱服務還沒有正式推出，我們只是在內測，但已經有了很多的收益。

目前的狀況是，當客戶來到HackerOne，他們要么為白帽子提交的漏洞付錢，要么訂購一個SaaS。這要看他們的技術背景了，雅虎和Adobe很樂意自己修補漏洞，另一些企業則想讓我們幫他們處理問題。這些企業愿意付出每個月2000美元，以得到漏洞更新和一整套安全服務的系統。通過這種對每家企業收費的形式，我們能夠提供更多的服務。

任何人都能使用免費服務，但我們將確保企業付給白帽黑客合適的獎勵。我們對這些白帽子負有責任，任何使用服務的人都需要在某種程度上付出回報。我們想在黑客與企業之間建立起公平的交易，我們不想與那些不愿意獎勵黑客的人打交道。

記者：你最近引用過一位于15歲巴基斯坦的小白帽在HackerOne上掙錢的例子，在你們的平臺上有多少研究人員，他們的地理位置分布又是怎樣的呢？

米克斯：全世界都有。北歐、俄羅斯、印度，巴基斯坦和孟加拉，當然美國更多，互聯網應用普及率高的地區都有不少的白帽子。

記者：許多公司都在抱怨，招聘不到愿意為他們工作的黑客，你覺得這是為什么？

米克斯：人們說黑客的社交能力差，但我認為這是企業的問題。太多的企業把人當作機器人，告訴他們該穿什么、做什么，甚至是想什么，這對人類是不健康的。如果你開始像機器人一樣的思考，那么機器人就能夠把你替代。

黑客的技術水平越高，他們就越不愿意受約束，有些體制外的人拒絕接受命令，這一點可以理解。高智商的人通常都有強烈的獨立感。給予他們做自己的自由，這是他們能夠非常優秀的原因，而且絕大多數人只是想讓世界變得更好。如果你試圖強迫他們按某種固定模式做事情，你就限制了他們。無論男女，都有權力做自己認為自己擅長的事情，真實的社會就是這樣子。如果人們沒有自己作決定的權力，他們就會停止創造性的思考。

說來也怪，15年前我在Mysql的時候，也曾對擁護開源的人抱怨不已，那時的公司對這些自由者感到恐懼。而現在，社會對開源編程人員的需求很大，他們已經完全被接受，盡管他們有著各種各樣的個人習慣。

漏洞眾測在國內也已經越來越得到企業的認可，尤其是接納新事物比較快的互聯網企業和思想觀念較為開放的南方地區。目前國內較大影響力的眾測平臺，補天、烏云和漏洞盒子的業務均已有了不小的增長。

雖然長遠來看，眾測市場一定是不斷向上發展的趨勢，但與國外不同的是，中國重要機構或重點行業的觀望氣氛還是很濃，對參與眾測的黑客態度十分謹慎。在這一點上，美國國防部的做法可以借鑒，一是對白帽黑客的身份進行審查，二是嘗試性的開放不太敏感的系統進行測試。