沙尚克·庫馬爾（Shashank Kumar）在七年級時被介紹從事計算機駭客活動。起初，他很高興闖入和破壞網站，他說，他現在後悔，但後來他知道，他可以得到報酬報告的弱點，他是利用。他說，在印度的cyberboyIndia，他已經賺了大約3萬美元的所謂蟲子津貼，足夠支付他大學教育的一大部分。

這幾天，這位19歲的年輕人在準備攻讀工程學學位時，應該在為期末考試做臨時抱佛腳。但許多夜晚，他發現自己醒得太晚，膝上型電腦嗡嗡作響，尋找雅虎、貝寶和AT&T等公司運營的服務上的軟體漏洞。在Twitter上，Shashank列出了他因舉報弱點而獲得的獎勵，這是一個亮點，從一頂免費帽子到一部新的智慧**，再到一張1500美元的支票。這筆錢很好，儘管對他的成績來說是謀殺。

Shashank是席捲安全行業的更廣泛趨勢的一部分。上週，谷歌宣佈，它正在修改其bug賞金計劃Pwnium的規則。這項比賽不再是一年一次的270萬美元獎金，而是全年進行，總獎金為∞ 換言之，這筆錢永遠不會停止流動，儘管谷歌巧妙的星號佈局保留隨時取消的權利。

谷歌將其獎勵池增加到無窮大

但這不太可能發生，至少如果谷歌想保持競爭力的話。臭蟲賞金計劃通常與非正式的獎勵一起工作：一封感謝信，一個線上的喊話，一件免費的t恤，或者幾百美元。但在過去的五年裡，他們已經成為一個巨大的財富。幾乎每一家大型科技公司都有一家在運營，而且它們穩步增加了獎勵的規模和數量。

最重要的是，像Crowdcurity、Bugcrowd、Synack和HackerOne這樣的新一代創業公司使任何一家公司都有可能推出自己的bug bounty，極大地擴大了市場規模。臭蟲獎金不再是隻有大型科技公司才會做的事情，而是在所有行業和大大小小的公司中泛濫，使得這些初創公司在過去兩年裡能夠支付數百萬美元的報酬。

無休止的戰爭中的新武器

“這改變了我們對安全性的看法，”Vimeo的技術長Andrew Pile說，Vimeo最近透過HackerOne發起了一項漏洞懸賞計劃我們幾乎不可能從零開始在內部建立這種專案。”

“這改變了我們對安全的看法。”

隨著Vimeo多年來規模的不斷擴大，它偶爾會收到關於其系統安全缺陷的提交，但Pile從未感到願意為這些缺陷付費。”我們唯一能感謝他們的方式就是免費帳戶或t恤，這並不能真正鼓勵最優秀的人回來。”

像大多數公司一樣，Vimeo也有雞和蛋的問題。建立信任的研究人員的臨界質量需要花費大量的錢。但它不願意為不認識和不信任的人開啟支票簿，尤其是一群不同的、有時是匿名的青少年駭客。

Bug bounty初創公司本質上是做市商，創造信任和流動性，以便像Vimeo這樣的小公司能夠利用全球駭客的供應。”付錢給人真的很痛苦；他們遍佈世界各地，而且他們沒有W-9。哈克龍處理法律和後勤的噩夢，負責帳單和付款，以換取20%的佣金加上每個賞金。

該系統執行得如此之好，以至於雅虎和推特等大到足以處理自己程式的公司都選擇使用HackerOne等第三方供應商。”用越來越多的硬體和軟體來解決這個問題的創可貼方法顯然行不通。“我們需要一個正交的方法，而且這個方法已經被證明瞭，”HackerOne的風險資本家和投資者billgurley說臭蟲賞金計劃將問題擺在了前面，而不是僅僅進行防禦。”

打倒那些笨蛋

對於竊聽者來說，最大的風險是他們會花費數小時來發現一個缺陷，然後寫一份報告來解釋它的工作原理和可以修複的方法，結果卻發現它已經被競爭對手提交了。沙申克和他的朋友們精心**了一些有趣的關於“複製品”心碎的模因，這在業界是眾所周知的。

“這涉及到大量的信任，”Vimeo的Pile說他們花了大量的時間來確定和記錄這些問題，然後報告就變成了一個黑匣子。我關閉了大量的重覆，不幸的是，我們只能在先到先得的基礎上付款。”

“我想，蟲子賞金就像線上撲克。”

有趣的是，Verge接觸到的六個臭蟲懸賞領袖委員會的研究人員中沒有一個是全職從事這項工作的。這種隨意性使得每月的收入參差不齊。所有人都把它稱為一種**、一種愛好或是一份**工作，儘管許多人說，他們剛巧第一次**時，工資相當不錯。”一位俄羅斯駭客Andrew寫道：“像線上撲克一樣的臭蟲賞金，我認為（原文如此）。”你可能很幸運，得到了一個大獎，但可能並不幸運，而且在很長一段時間內找不到任何東西。在印度和巴基斯坦等地，儘管有浪費時間的風險，仍有大量的青少年人才願意獵殺蟲子。

對於進入這一市場的公司來說，欺騙或低價值報告也可能是一個問題。”“說‘如果你給我們脆弱性，我們會給你錢’的壞處是你會收到很多垃圾報告，”丹尼爾·萊切米南特說，他最近啟動了特雷洛的懸賞計劃在最初的一週半時間裡，我們收到了200份意見書，也許有10份是可以採取行動的。”

國安局的前特工們正進入***行業

由於這種低效率，Synack使用了一種開放性差得多的模型。它是臭蟲賞金初創公司中資金最雄厚的一家，由美國****局的老兵創辦，他們花了多年時間尋找**可以利用的漏洞。”“我們正在採取一種不同於其他管理缺陷賞金提供商的方法，”創始人傑伊·卡普蘭說發展中國家渴望賺50美元的人太多了，這會造成很大的噪音。“使用Synack的公司不向駭客付費，而是為這項服務支付固定的費用。Synack使用了一個有限的駭客池，他們透過了三級測試，審查了所有提交的檔案，並分配了獎金，使其更保守的、主要是非技術客戶免受混亂的影響。

避免反吹

前Facebook安全主管、現任HackerOne技術長亞歷克斯•賴斯（Alex Rice）表示，大多數駭客會選擇官方程式而不是黑市，即使價格沒有那麼高要在黑市上賣東西，你必須把它武器化。這可能需要幾個月的時間。所以你必須賦予大多數人權力。他們有軟體技能，但沒有惡意。”

但一些行業專家警告說，如果處理不當，這種動態可能會對實施獎金計劃的公司產生影響。”問題是，公司認為漏洞獎金只是他們可以宣佈的東西，這就足夠了，”安全公司High Tech Bridge的執行長兼創始人Ilia Kolochenko在他的公司部落格上說。他舉了一個駭客的例子，他報告了一個尚未修補的副本。”好吧，如果你對我們的發現不感興趣，我們就用白帽子換一頂灰/黑帽子，再找一個可能給我們更多錢的人談談。”

“當一個組織拿槍指著自己的頭時，它就開始浪費時間。”

古斯·阿納諾斯幫助貝寶啟動了蟲子懸賞計劃，現在在Synack工作。”他說，沒有被談論太多的是駭客的回擊，他們覺得自己沒有得到足夠的錢，或者他們的漏洞沒有在合理的時間內被披露。這些駭客經常會上市，給相關公司帶來公關噩夢。這導致公司對每一次提交都反應過度。”當一個組織拿槍指著自己的頭時，它就開始把時間浪費在那些不太重要的漏洞上，”阿納諾斯說。

運營這些市場的初創公司透過獎勵建立駭客聲譽的積分，部分地改善了重覆問題。”他們給你的重覆錯誤的分數，”沙申克透過電子郵件告訴邊緣。這些積分加起來就是邀請私人賞金狩獵，在那裡獎勵更豐富，競爭也不那麼激烈。”因此，這裡我們得到了我們的重覆錯誤的果實，”沙申克說。他目前位列Bugcrowd和CrowdSecurity的排行榜，這兩個排行榜突出了每個月和所有時間的頂尖研究人員。

這些私人獵蟲活動對雙方都有好處。”Bugcrowd的執行長凱西•埃利斯（CaseyEllis）說：“大型科技公司對邀請人們在公共場合嘗試拆分你的系統的混亂局面感到很舒服。”一家銀行，一家大型零售商，他們不是那樣建立起來的，他們對風險沒有同樣的偏好。”提供這項服務的初創公司通常會啟動一個私人專案，只對一部分受信任的駭客開放。慢慢地，隨著這些公司掌握了訣竅，這些測試可以擴充套件到更公開的測試，或者在客戶自己的網站上啟動官方的懸賞計劃。

充分利用不利局面

一些安全專業人士在幾年前曾對漏洞泛濫持批評態度，但後來他們改變了態度。”“我擔心公司會啟動這些程式，人們會提出可怕的錯誤，並要求他們的錢，公司會浪費時間在他們身上，而真正的安全漏洞沒有得到修複，”丹卡明斯基說但我對他們在這一領域的表現感到驚喜。這是一個嚴重的人才短缺，像這樣的計劃有助於最大限度地發揮公司的能力，利用所有的專業知識。”

“你一壓扁它們，新的就浮出水面。”

儘管如此，這些程式仍有許多懷疑論者認為，竊聽主要是內務管理，不能解決系統安全風險。”“有一個巨大的文化圍繞著找到漏洞，以便我們可以修補他們說：”彼得赫爾佐格，安全分析師和OSSTMM的創造者它更多的是基於市場而不是現實。你一壓扁它們，新的就會浮出水面。”

赫爾佐格指出，索尼影業（Sony Pictures）等備受矚目的駭客攻擊很可能是源於一名員工受到了威脅，而不是技術缺陷。”發生的大多數攻擊都是透過社會工程完成的。赫爾佐格問：“我們要怎麼開始給人們打補丁呢？”當人們下載並安裝惡意軟體時，尋找漏洞有什麼意義。”

即便是這些初創公司的創始人也很快承認，漏洞津貼並不是解決安全問題的靈丹妙藥。”Crowdcurity的聯合創始人兼執行長雅各布•漢森（Jacob Hansen）說：“這不像你在執行一個臭蟲懸賞計劃，現在一切都安全了。”這是工具箱裡的一項。您需要程式碼檢查、物理安全和員工培訓。”

但對Chrome和Firefox賞金程式的研究發現，它們比**全職安全研究人員要便宜。”組織正在逐漸意識到，過去的工具不能像今天開發應用程式那樣擴充套件公司每天推出10次程式碼。為了跟上駭客的步伐，你不能依賴自動化的方法或偶爾的顧問。你需要一個擁有多種技能的大團隊，不斷探索你的系統的弱點。”