本周在Vergecast访谈系列节目中，Verge主编尼莱•帕特尔（Nilay Patel）与Luta Security创始人兼首席执行官凯蒂•穆苏里斯（Katie Moussouris）进行了交谈。

Moussouris在计算机安全领域有着悠久的历史，在微软和国防部工作，他们创建了第一个bug奖励计划，以鼓励捕获和报告软件系统中的安全漏洞和漏洞。

Nilay和Katie讨论了bug赏金程序的历史，从早期的迭代到当前的状态，从好到坏。尽管穆索里斯说，**黑客帮助组织更安全的概念有许多积极的方面，但这种做法的商业化已经造成了盲点和其他意外的动机。

下面是这段对话的一段经过简单编辑的摘录。

尼莱·帕特尔：臭虫悬赏系统的缺陷在哪里？

凯蒂·穆苏里斯：嗯，老实说，现在的缺点，我不得不说，是在商业上实现了bug赏金。所以我的公司基本上会评估组织的成熟度，比如，“你准备好了吗？你能掌握真相吗？”

我们问的很多问题，组织都会说，“是的，但是我们想做一个行业最佳实践，叫做bug赏金。我们知道你给了很多虫子的赏金。你就给我们一个虫子赏金吧。”

我想，“但你还没来得及修补那些你知道已经过时的系统。你如何处理这个额外的卷？他们说，“哦，但是我们只会雇一个臭虫悬赏服务提供商，他们会为我们处理一切。”我说，“等等。从剩下的问题中，您不了解内部补丁处理的哪一部分？“因为他们坐在那里，”有人告诉我们可以把这个外包出去

我认为这是市场双方的失败。我以前在一家臭虫赏金公司工作。我认为这种模式是“嘿，为什么我们不让公司和黑客联系起来更容易，让每个人都更安全呢？最终，这些公司和**将变得更加安全，最终，黑客们不仅不会坐牢谋生，而且还会扩大规模。”因为理想情况下，你想在全世界看到的不再是低垂的果实。你希望看到人们自己解决这些bug——理想情况下，防止它们。但即使他们不小心把一些低挂的水果虫子编码了起来，他们自己也能发现。不靠第三方兰多斯在网上来告诉你这个低垂的果实。

所以我看到的失败之处是商业的bug赏金平台，基本上他们的商业模式是你在安全性方面不好，所以有很多低技能的成果可以找到，相对低技能的劳动力在bug赏金平台上-除了极少数例外，在这些bug上有很多高技能的人平台。但我想我读到了一份最新的报告，报告来自一个领先的bug赏金平台，在60万注册用户中，有146人在这个平台上一生的收入从未超过10万美元。你知道，一个专业的渗透测试人员，甚至在15年前我做这个的时候，起薪已经超过10万美元了。

因此，我们并没有看到这些项目带来的安全状况的良好发展。我们也没有看到网络安全工作人员状况的良好发展。我们看到一个巨大的金字塔底部，这是一种人谁能够运行免费或几乎免费的扫描工具，给你们一种低挂水果报告。而且他们占了臭虫赏金猎人的大多数。而这个由高技能工人组成的金字塔的小小顶端——也就是说，实际上不到200人——处于非常非常高的顶端。尽管这些公司已经存在了八年。

有趣的是，你所描述的黑客网络安全的经济模式，看起来非常像用户生成的内容平台经济模式。你可以描述一下YouTube、Instagram或其他任何一个平台，它们承诺很多人都可以访问，但只奖励一小部分人。这个类比准确吗？

当然。我的意思是，臭虫赏金规则只是第一个报告一个独特的臭虫得到报酬的规则。想想那些低垂的果实吧。你可以喷洒和祈祷你的扫描工具，但即使是赚钱的东西，很容易找到，你只需要成为第一个在。所以有大量的无偿劳动进入了这些平台。

即使你的技术水平更高，发现了更深奥的漏洞，我们也会听到很多公司抱怨说，“哦，我们已经知道这个漏洞了，所以我们不会付钱给你。它已经在修复过程中了。”所以有一大堆东西，人们没有得到他们注册的东西。我把它看作是gig经济市场现在又一次失败的实现。

我们都对gig经济能帮助很多人抱有很大的希望。当然，对于劳工方面来说，结果并不是很好。但就虫子悬赏而言，无论是对购买方还是对**方来说，结果都不是很好。他们无法获得庞大的新劳动力。有那么一小部分人在这些平台上拥有相当高的技能并赚了很多钱，他们可能不想放弃自己的生活方式。他们中的一些人决定在公司内部工作，但他们保留了自己的虫子赏金**能力。因此，我们只是没有看到整个演出经济所表达的缺陷赏金平台的工作，为方程的任何一方。

所以，为了让这个类比继续下去，也许在我们批评YouTube或Instagram的时候，它已经超越了临界点，一个真实的东西正在为YouTube和Instagram做出巨大的贡献。他们没有动力去修复它，因为他们收获了所有的回报。我可以想象，至少有更多的实际资金通过bug赏金生态系统流动，并且存在“嘿，我们的软件有漏洞”的真正威胁。所以看起来确实有一些动机改变它，改变这个模型。你看到了什么变化，或者说这种激励根本不存在？

嗯，在离开一家臭虫赏金公司后，我作为一名顾问留下了将近一年的时间，并与他们合作处理各种共同客户。我和很多臭虫赏金公司有过客户重叠，如果不是所有美国大公司的话。我一直在他们的商业模式中看到的是，我想帮助组织变得更成熟。所以低挂的水果虫子更少，更深奥的虫子。但他们所有的商业模式都依赖于一直有朋友在水里低垂的果实。

因此，他们不希望我的公司在通常情况下会说：“你准备好了吗？”？你有没有在内部投资自己去发现这些漏洞？你知道吗，如果你真的在设计阶段发现安全漏洞的话，它会便宜45倍？“这基本上会推迟bug赏金的采用，这对每个人都不合适，如果你甚至不能修补你已经知道的bug，那就肯定不合适了。

因此，我认为不同的商业模式（bug赏金与我公司提供的咨询服务）所产生的内在冲突是bug赏金可以帮助你完成漏洞管理所需的一小部分工作，但它被定位为一个简单的按钮。我们看到很多公司开始意识到这样一个事实：即使他们有一个bug赏金或者他们不能赏金所有的东西，他们仍然有漏洞。

有一家航空公司四年多来一直有臭虫悬赏。那是联合航空公司。在飞机上吗？不，在网站上。这是反对网站的。那么，我们如何在天空中更安全呢？好吧，我们不是。但是看起来你在努力进行漏洞管理，我想这就是商业漏洞赏金支持平台一直在推动的地方，比如说，“看，你知道，只是看起来很忙。”是的，你在玩whack-a-bug什么的，这是超级低效的，但是你可以说你采取了安全问题非常严重，你正在修复这些低垂的水果虫之类的东西。我们不会那样称呼他们。我们只会说，你知道，有所有这些错误，它是超级有价值的。当你被突破的时候。也许你不会惹麻烦，因为你可以说，“好吧，我们试过了。我们得到了一笔虫子赏金，只是没有人向我们报告这个问题。”

所以我不知道。我的意思是，我很想说，这一切都是朝着正确的方向发展，但坦率地说，我已经看到它的发展，特别是在过去几年的商业化的错误奖金。