本週在Vergecast訪談系列節目中，Verge主編尼萊•帕特爾（Nilay Patel）與Luta Security創始人兼執行長凱蒂•穆蘇里斯（Katie Moussouris）進行了交談。

Moussouris在電腦保安領域有著悠久的歷史，在微軟和國防部工作，他們建立了第一個bug獎勵計劃，以鼓勵捕獲和報告軟體系統中的安全漏洞和漏洞。

Nilay和Katie討論了bug賞金程式的歷史，從早期的迭代到當前的狀態，從好到壞。儘管穆索里斯說，**駭客幫助組織更安全的概念有許多積極的方面，但這種做法的商業化已經造成了盲點和其他意外的動機。

下面是這段對話的一段經過簡單編輯的摘錄。

尼萊·帕特爾：臭蟲懸賞系統的缺陷在哪裡？

凱蒂·穆蘇里斯：嗯，老實說，現在的缺點，我不得不說，是在商業上實現了bug賞金。所以我的公司基本上會評估組織的成熟度，比如，“你準備好了嗎？你能掌握真相嗎？”

我們問的很多問題，組織都會說，“是的，但是我們想做一個行業最佳實踐，叫做bug賞金。我們知道你給了很多蟲子的賞金。你就給我們一個蟲子賞金吧。”

我想，“但你還沒來得及修補那些你知道已經過時的系統。你如何處理這個額外的卷？他們說，“哦，但是我們只會僱一個臭蟲懸賞服務提供商，他們會為我們處理一切。”我說，“等等。從剩下的問題中，您不瞭解內部補丁處理的哪一部分？“因為他們坐在那裡，”有人告訴我們可以把這個外包出去

我認為這是市場雙方的失敗。我以前在一家臭蟲賞金公司工作。我認為這種模式是“嘿，為什麼我們不讓公司和駭客聯絡起來更容易，讓每個人都更安全呢？最終，這些公司和**將變得更加安全，最終，駭客們不僅不會坐牢謀生，而且還會擴大規模。”因為理想情況下，你想在全世界看到的不再是低垂的果實。你希望看到人們自己解決這些bug——理想情況下，防止它們。但即使他們不小心把一些低掛的水果蟲子編碼了起來，他們自己也能發現。不靠第三方蘭多斯在網上來告訴你這個低垂的果實。

所以我看到的失敗之處是商業的bug賞金平臺，基本上他們的商業模式是你在安全性方面不好，所以有很多低技能的成果可以找到，相對低技能的勞動力在bug賞金平臺上-除了極少數例外，在這些bug上有很多高技能的人平臺。但我想我讀到了一份最新的報告，報告來自一個領先的bug賞金平臺，在60萬註冊使用者中，有146人在這個平臺上一生的收入從未超過10萬美元。你知道，一個專業的滲透測試人員，甚至在15年前我做這個的時候，起薪已經超過10萬美元了。

因此，我們並沒有看到這些專案帶來的安全狀況的良好發展。我們也沒有看到網路安全工作人員狀況的良好發展。我們看到一個巨大的金字塔底部，這是一種人誰能夠執行免費或幾乎免費的掃描工具，給你們一種低掛水果報告。而且他們佔了臭蟲賞金獵人的大多數。而這個由高技能工人組成的金字塔的小小頂端——也就是說，實際上不到200人——處於非常非常高的頂端。儘管這些公司已經存在了八年。

有趣的是，你所描述的駭客網路安全的經濟模式，看起來非常像使用者生成的內容平臺經濟模式。你可以描述一下YouTube、Instagram或其他任何一個平臺，它們承諾很多人都可以訪問，但只獎勵一小部分人。這個類比準確嗎？

當然。我的意思是，臭蟲賞金規則只是第一個報告一個獨特的臭蟲得到報酬的規則。想想那些低垂的果實吧。你可以噴灑和祈禱你的掃描工具，但即使是賺錢的東西，很容易找到，你只需要成為第一個在。所以有大量的無償勞動進入了這些平臺。

即使你的技術水平更高，發現了更深奧的漏洞，我們也會聽到很多公司抱怨說，“哦，我們已經知道這個漏洞了，所以我們不會付錢給你。它已經在修復過程中了。”所以有一大堆東西，人們沒有得到他們註冊的東西。我把它看作是gig經濟市場現在又一次失敗的實現。

我們都對gig經濟能幫助很多人抱有很大的希望。當然，對於勞工方面來說，結果並不是很好。但就蟲子懸賞而言，無論是對購買方還是對**方來說，結果都不是很好。他們無法獲得龐大的新勞動力。有那麼一小部分人在這些平臺上擁有相當高的技能並賺了很多錢，他們可能不想放棄自己的生活方式。他們中的一些人決定在公司內部工作，但他們保留了自己的蟲子賞金**能力。因此，我們只是沒有看到整個演出經濟所表達的缺陷賞金平臺的工作，為方程的任何一方。

所以，為了讓這個類比繼續下去，也許在我們批評YouTube或Instagram的時候，它已經超越了臨界點，一個真實的東西正在為YouTube和Instagram做出巨大的貢獻。他們沒有動力去修復它，因為他們收穫了所有的回報。我可以想象，至少有更多的實際資金透過bug賞金生態系統流動，並且存在“嘿，我們的軟體有漏洞”的真正威脅。所以看起來確實有一些動機改變它，改變這個模型。你看到了什麼變化，或者說這種激勵根本不存在？

嗯，在離開一家臭蟲賞金公司後，我作為一名顧問留下了將近一年的時間，並與他們合作處理各種共同客戶。我和很多臭蟲賞金公司有過客戶重疊，如果不是所有美國大公司的話。我一直在他們的商業模式中看到的是，我想幫助組織變得更成熟。所以低掛的水果蟲子更少，更深奧的蟲子。但他們所有的商業模式都依賴於一直有朋友在水裡低垂的果實。

因此，他們不希望我的公司在通常情況下會說：“你準備好了嗎？”？你有沒有在內部投資自己去發現這些漏洞？你知道嗎，如果你真的在設計階段發現安全漏洞的話，它會便宜45倍？“這基本上會推遲bug賞金的採用，這對每個人都不合適，如果你甚至不能修補你已經知道的bug，那就肯定不合適了。

因此，我認為不同的商業模式（bug賞金與我公司提供的諮詢服務）所產生的內在衝突是bug賞金可以幫助你完成漏洞管理所需的一小部分工作，但它被定位為一個簡單的按鈕。我們看到很多公司開始意識到這樣一個事實：即使他們有一個bug賞金或者他們不能賞金所有的東西，他們仍然有漏洞。

有一家航空公司四年多來一直有臭蟲懸賞。那是聯合航空公司。在飛機上嗎？不，在網站上。這是反對網站的。那麼，我們如何在天空中更安全呢？好吧，我們不是。但是看起來你在努力進行漏洞管理，我想這就是商業漏洞賞金支援平臺一直在推動的地方，比如說，“看，你知道，只是看起來很忙。”是的，你在玩whack-a-bug什麼的，這是超級低效的，但是你可以說你採取了安全問題非常嚴重，你正在修復這些低垂的水果蟲之類的東西。我們不會那樣稱呼他們。我們只會說，你知道，有所有這些錯誤，它是超級有價值的。當你被突破的時候。也許你不會惹麻煩，因為你可以說，“好吧，我們試過了。我們得到了一筆蟲子賞金，只是沒有人向我們報告這個問題。”

所以我不知道。我的意思是，我很想說，這一切都是朝著正確的方向發展，但坦率地說，我已經看到它的發展，特別是在過去幾年的商業化的錯誤獎金。