沙尚克·库马尔（Shashank Kumar）在七年级时被介绍从事计算机黑客活动。起初，他很高兴闯入和破坏网站，他说，他现在后悔，但后来他知道，他可以得到报酬报告的弱点，他是利用。他说，在印度的cyberboyIndia，他已经赚了大约3万美元的所谓虫子津贴，足够支付他大学教育的一大部分。

这几天，这位19岁的年轻人在准备攻读工程学学位时，应该在为期末考试做临时抱佛脚。但许多夜晚，他发现自己醒得太晚，笔记本电脑嗡嗡作响，寻找雅虎、贝宝和AT&T等公司运营的服务上的软件漏洞。在Twitter上，Shashank列出了他因举报弱点而获得的奖励，这是一个亮点，从一顶免费帽子到一部新的智能**，再到一张1500美元的支票。这笔钱很好，尽管对他的成绩来说是谋杀。

Shashank是席卷安全行业的更广泛趋势的一部分。上周，谷歌宣布，它正在修改其bug赏金计划Pwnium的规则。这项比赛不再是一年一次的270万美元奖金，而是全年进行，总奖金为∞ 换言之，这笔钱永远不会停止流动，尽管谷歌巧妙的星号布局保留随时取消的权利。

谷歌将其奖励池增加到无穷大

但这不太可能发生，至少如果谷歌想保持竞争力的话。臭虫赏金计划通常与非正式的奖励一起工作：一封感谢信，一个在线的喊话，一件免费的t恤，或者几百美元。但在过去的五年里，他们已经成为一个巨大的财富。几乎每一家大型科技公司都有一家在运营，而且它们稳步增加了奖励的规模和数量。

最重要的是，像Crowdcurity、Bugcrowd、Synack和HackerOne这样的新一代创业公司使任何一家公司都有可能推出自己的bug bounty，极大地扩大了市场规模。臭虫奖金不再是只有大型科技公司才会做的事情，而是在所有行业和大大小小的公司中泛滥，使得这些初创公司在过去两年里能够支付数百万美元的报酬。

无休止的战争中的新武器

“这改变了我们对安全性的看法，”Vimeo的首席技术官Andrew Pile说，Vimeo最近通过HackerOne发起了一项漏洞悬赏计划我们几乎不可能从零开始在内部建立这种项目。”

“这改变了我们对安全的看法。”

随着Vimeo多年来规模的不断扩大，它偶尔会收到关于其系统安全缺陷的提交，但Pile从未感到愿意为这些缺陷付费。”我们唯一能感谢他们的方式就是免费帐户或t恤，这并不能真正鼓励最优秀的人回来。”

像大多数公司一样，Vimeo也有鸡和蛋的问题。建立信任的研究人员的临界质量需要花费大量的钱。但它不愿意为不认识和不信任的人打开支票簿，尤其是一群不同的、有时是匿名的青少年黑客。

Bug bounty初创公司本质上是做市商，创造信任和流动性，以便像Vimeo这样的小公司能够利用全球黑客的供应。”付钱给人真的很痛苦；他们遍布世界各地，而且他们没有W-9。哈克龙处理法律和后勤的噩梦，负责帐单和付款，以换取20%的佣金加上每个赏金。

该系统运行得如此之好，以至于雅虎和推特等大到足以处理自己程序的公司都选择使用HackerOne等第三方供应商。”用越来越多的硬件和软件来解决这个问题的创可贴方法显然行不通。“我们需要一个正交的方法，而且这个方法已经被证明了，”HackerOne的风险资本家和投资者billgurley说臭虫赏金计划将问题摆在了前面，而不是仅仅进行防御。”

打倒那些笨蛋

对于窃听者来说，最大的风险是他们会花费数小时来发现一个缺陷，然后写一份报告来解释它的工作原理和可以修复的方法，结果却发现它已经被竞争对手提交了。沙申克和他的朋友们精心**了一些有趣的关于“复制品”心碎的模因，这在业界是众所周知的。

“这涉及到大量的信任，”Vimeo的Pile说他们花了大量的时间来确定和记录这些问题，然后报告就变成了一个黑匣子。我关闭了大量的重复，不幸的是，我们只能在先到先得的基础上付款。”

“我想，虫子赏金就像在线扑克。”

有趣的是，Verge接触到的六个臭虫悬赏领袖委员会的研究人员中没有一个是全职从事这项工作的。这种随意性使得每月的收入参差不齐。所有人都把它称为一种**、一种爱好或是一份**工作，尽管许多人说，他们刚巧第一次**时，工资相当不错。”一位俄罗斯黑客Andrew写道：“像在线扑克一样的臭虫赏金，我认为（原文如此）。”你可能很幸运，得到了一个大奖，但可能并不幸运，而且在很长一段时间内找不到任何东西。在印度和巴基斯坦等地，尽管有浪费时间的风险，仍有大量的青少年人才愿意猎杀虫子。

对于进入这一市场的公司来说，欺骗或低价值报告也可能是一个问题。”“说‘如果你给我们脆弱性，我们会给你钱’的坏处是你会收到很多垃圾报告，”丹尼尔·莱切米南特说，他最近启动了特雷洛的悬赏计划在最初的一周半时间里，我们收到了200份意见书，也许有10份是可以采取行动的。”

国安局的前特工们正进入***行业

由于这种低效率，Synack使用了一种开放性差得多的模型。它是臭虫赏金初创公司中资金最雄厚的一家，由美国****局的老兵创办，他们花了多年时间寻找**可以利用的漏洞。”“我们正在采取一种不同于其他管理缺陷赏金提供商的方法，”创始人杰伊·卡普兰说发展中国家渴望赚50美元的人太多了，这会造成很大的噪音。“使用Synack的公司不向黑客付费，而是为这项服务支付固定的费用。Synack使用了一个有限的黑客池，他们通过了三级测试，审查了所有提交的文件，并分配了奖金，使其更保守的、主要是非技术客户免受混乱的影响。

避免反吹

前Facebook安全主管、现任HackerOne首席技术官亚历克斯•赖斯（Alex Rice）表示，大多数黑客会选择官方程序而不是黑市，即使价格没有那么高要在黑市上卖东西，你必须把它武器化。这可能需要几个月的时间。所以你必须赋予大多数人权力。他们有软件技能，但没有恶意。”

但一些行业专家警告说，如果处理不当，这种动态可能会对实施奖金计划的公司产生影响。”问题是，公司认为漏洞奖金只是他们可以宣布的东西，这就足够了，”安全公司High Tech Bridge的首席执行官兼创始人Ilia Kolochenko在他的公司博客上说。他举了一个黑客的例子，他报告了一个尚未修补的副本。”好吧，如果你对我们的发现不感兴趣，我们就用白帽子换一顶灰/黑帽子，再找一个可能给我们更多钱的人谈谈。”

“当一个组织拿枪指着自己的头时，它就开始浪费时间。”

古斯·阿纳诺斯帮助贝宝启动了虫子悬赏计划，现在在Synack工作。”他说，没有被谈论太多的是黑客的回击，他们觉得自己没有得到足够的钱，或者他们的漏洞没有在合理的时间内被披露。这些黑客经常会上市，给相关公司带来公关噩梦。这导致公司对每一次提交都反应过度。”当一个组织拿枪指着自己的头时，它就开始把时间浪费在那些不太重要的漏洞上，”阿纳诺斯说。

运营这些市场的初创公司通过奖励建立黑客声誉的积分，部分地改善了重复问题。”他们给你的重复错误的分数，”沙申克通过电子邮件告诉边缘。这些积分加起来就是邀请私人赏金狩猎，在那里奖励更丰富，竞争也不那么激烈。”因此，这里我们得到了我们的重复错误的果实，”沙申克说。他目前位列Bugcrowd和CrowdSecurity的排行榜，这两个排行榜突出了每个月和所有时间的顶尖研究人员。

这些私人猎虫活动对双方都有好处。”Bugcrowd的首席执行官凯西•埃利斯（CaseyEllis）说：“大型科技公司对邀请人们在公共场合尝试拆分你的系统的混乱局面感到很舒服。”一家银行，一家大型零售商，他们不是那样建立起来的，他们对风险没有同样的偏好。”提供这项服务的初创公司通常会启动一个私人项目，只对一部分受信任的黑客开放。慢慢地，随着这些公司掌握了诀窍，这些测试可以扩展到更公开的测试，或者在客户自己的网站上启动官方的悬赏计划。

充分利用不利局面

一些安全专业人士在几年前曾对漏洞泛滥持批评态度，但后来他们改变了态度。”“我担心公司会启动这些程序，人们会提出可怕的错误，并要求他们的钱，公司会浪费时间在他们身上，而真正的安全漏洞没有得到修复，”丹卡明斯基说但我对他们在这一领域的表现感到惊喜。这是一个严重的人才短缺，像这样的计划有助于最大限度地发挥公司的能力，利用所有的专业知识。”

“你一压扁它们，新的就浮出水面。”

尽管如此，这些程序仍有许多怀疑论者认为，窃听主要是内务管理，不能解决系统安全风险。”“有一个巨大的文化围绕着找到漏洞，以便我们可以修补他们说：”彼得赫尔佐格，安全分析师和OSSTMM的创造者它更多的是基于市场而不是现实。你一压扁它们，新的就会浮出水面。”

赫尔佐格指出，索尼影业（Sony Pictures）等备受瞩目的黑客攻击很可能是源于一名员工受到了威胁，而不是技术缺陷。”发生的大多数攻击都是通过社会工程完成的。赫尔佐格问：“我们要怎么开始给人们打补丁呢？”当人们下载并安装恶意软件时，寻找漏洞有什么意义。”

即便是这些初创公司的创始人也很快承认，漏洞津贴并不是解决安全问题的灵丹妙药。”Crowdcurity的联合创始人兼首席执行官雅各布•汉森（Jacob Hansen）说：“这不像你在执行一个臭虫悬赏计划，现在一切都安全了。”这是工具箱里的一项。您需要代码检查、物理安全和员工培训。”

但对Chrome和Firefox赏金程序的研究发现，它们比**全职安全研究人员要便宜。”组织正在逐渐意识到，过去的工具不能像今天开发应用程序那样扩展公司每天推出10次代码。为了跟上黑客的步伐，你不能依赖自动化的方法或偶尔的顾问。你需要一个拥有多种技能的大团队，不断探索你的系统的弱点。”