早在8月份，DJI就启动了一个bug赏金计划，旨在奖励那些发现了安全漏洞的研究人员。这种网络安全的方法现在很普遍，像谷歌、微软和雅虎这样的大公司运行自己的程序，而小公司则依赖Bugcrowd和HackerOne这样的平台。

不幸的是，DJI与白帽黑客合作的努力已经引起了争议。Kevin Finisterre是一位安全研究员，他的早期关于DJI安全性的研究成为了头条新闻，他昨天发表了一篇长篇文章，详细描述了他在DJI的bug赏金计划中的负面经历。今天早上，它登上了美国科技界广为阅读的论坛“黑客新闻”的榜首。

菲尼斯特尔和他一起工作的一群黑客发现了DJI网络安全中的一个非常严重的漏洞。他们能够获得其SSL证书的私钥，DJI意外地将其发布在GitHub上，从而允许他们访问存储在DJI服务器上的敏感客户信息。他问DJI这个问题是否在bug赏金的范围内，DJI公司证实了这一点。菲尼斯特尔写了一份详细的报告。DJI批准了这项工作，并向他提供了3万美元的赏金，这是他们的最高奖励。

但DJI还没来得及收货，就把菲尼斯特尔的合同给毁了。实质上，它要求他不要公开讨论他所做工作的细节，或者他根本没有为DJI做过安全工作。对于菲尼斯特尔这样的研究人员来说，公众对这项工作的认可往往和金钱奖励一样有价值。在双方就合同进行讨价还价时，DJI的法律团队发出了一封信，信中提到了《计算机欺诈和滥用法案》，Finister将该法案解释为一种含蓄的威胁。他决定放弃这笔钱，把自己的经历公之于众。

“尽管我们在过去4年里取得了很多进展，但对于组织来说，通过bug赏金与研究社区合作还是比较新颖的。Bugcrowd是一个bug赏金平台，Bugcrowd的产品副总裁Jonathan Cran说：“对于那些在没有准备的情况下就启动的组织来说，被大量的高影响问题所淹没的情况并不少见，这似乎是问题的一个重要部分。”。

“我们建议DJI尽快解决问题，而不是采取法律行动。“根据我们今天掌握的信息，这似乎是一个误解，并没有恶意的意图，”克兰说Bug优惠以无与伦比的成本提供极高的质量结果—但正如我们向客户强调的那样，您需要一个合作伙伴。”

有一些臭虫赏金项目要求研究人员严格遵守保密协议。像苹果和联合航空公司这样的公司都要求研究人员保持相当的守口如瓶。但在研究投入时间发现、报告和提交bug之前，这个限制就已经明确了。通常会有一些公共信用。

在Finister重新发布了他的账户后，DJI为其bug bounty计划开通了一个官方网站，并向任何想要参与的人明确了其条款和条件。时间会告诉我们，它是否能够修复与研究人员群体的关系，建立一个对双方都有效的赏金计划。