旧金山电 – 2011 年，两个 20 岁出头的荷兰黑客列了 100 家他们打算黑掉的高科技公司。不久之后，他们就发明了 Facebook、Google、苹果、微软、Twitter 以及其他 95 家公司体系上的宁静毛病。

  他们把本身这个清单叫做 Hack 100。

  当他们就此告诫这些公司的高管时，有三分之一的人选择了纰漏告诫，另有三分之一的人简略地感谢了他们，但从来没有去修复毛病，剩下的则赶着去把毛病给修复了。由于心怀对两位黑客的感激，没有人去报警。

  现 在，这两位黑客——Michiel Prins 和 Jobert Abma——成为了一家旧金山初创企业的四位创始人之一，这家公司努力于为那些有网络宁静问题的企业和像他们一样的黑客之间的桥梁，这些黑客是来办理体系 宁静问题的，而不是来搞破坏的。他们希望这家叫HackerOne 的公司能压服其他黑客负责任地报告宁静毛病，而不是使用它们，公司会让这些“白帽黑 客”和那些愿意为他们发明的毛病付出赏金的公司对接起来。

  去 年，这家创业公司已经压服了包括雅虎、Square 和 Twitter 在内的知名科技公司，以及一些你可能永久想不到的公司（好比银行和石油公司）应用他们的服务。他们已经向风投资本家们证明，现在支持 网络运行的设置装备摆设有几十亿台，存在缺陷在所难免，因此HackerOne 的服务有可能会非常赚钱。对于每一笔通过 HackerOne 付出的赏 金，HackerOne 平台会抽取 20% 的佣金。

  “所有公司都会使用这项服务，”为 HackerOne 投资了 900 万美元的 Benchmark 公司合伙人 Bill Gurley 说。“不消它是很愚蠢的。”

  这 种变相的“毛病发明奖励筹划（moderated bug bounty programs）”接纳的是现在盛行的反向安慰模式（moderated bug bounty programs）。根据企业体系毛病的紧张程度，发明毛病的黑客可以通过把毛病信息卖给罪犯或者政府拿到数十万美元的回报，而这些毛病则被保存在了网络 武器库里，往往永久都得不到修复。而如果黑客把毛病报告给企业、让企业去修复这些毛病，他们则常常被忽视，或者受到要被投进监狱的要挟。

  大要上讲，有能力修复互联网宁静问题的人更有来由把互联网的毛病留在那里，任由其受到打击。

  “我们想让这件事变变得容易，以后那些有能力的黑客能收到回报，从而让他们有一个受保护的、可靠的职业，”HackerOne 的首席政策官 Katie Moussouris 说。毛病发明奖励筹划是他首先在微软实行起来的。“现在，我们是连结中立的。”

  Prins，Abma 和住在硅谷的荷兰企业家 MerijnTerheggen 一同开办了 HackerOne。在他们建立起 Hack 100 清单，并发邮件告诫 Facebook 的首席执行官 Sheryl Sandberg 说网站存在一个毛病的历程中，他们遇到了公司的第四位联合创始人。Sandberg 不只感谢了他们，并且把他们的信打出来交给了 Facebook 其时的产物宁静主管 Alex Rice，让他修复毛病。Rice 请了这几位黑客共进午餐，并和他们一同办理了那个问题，然后付出了4000 美元的赏金。一年后，Rice 参加了 HackerOne。

  左起辨别是 HackerOne 的创始人 Michiel Prins、Jobert Abma、Alex Rice、Merijn Terheggen，以及公司的一位投资人 Bill Gurley。

  “所有技术都有毛病，如果你没有一个公然的渠道让负责任的黑客报告这些毛病，那你就会在通过黑市发起的网络打击中和他们照面，”Rice 说。“而这是不可担当的。”

  众 所周知，网络罪犯们一直都在扫描企业体系的单薄之处，以及那些正在网络这些毛病的政府机构。网络罪犯会使用空调服务中的此类毛病，侵入目标企业的付出系 统。而这些毛病对政府的监护行为来说非常致命，并且会成为像 Stuxnet 工业蠕虫病毒如许的互联网武器的关键部分。Stuxnet 是美国和以色列联合开发的一种电脑蠕虫病毒，它使用了数个毛病，发明并破坏了一家伊朗核设施的铀离心机。

  政府网络武器库的毛病是云云关键，以致于一家美国政府机构向一名黑客付出了 100 万美元，就为了获得一个苹果 iOS 操作体系中的毛病信息。苹果公司在知晓并修复这个毛病之后，可能不会给他一分钱，而另一家公司可能已经报警了。

  毛病发明奖励是为了推动黑客修复毛病，并回报那些永久不泄漏毛病的黑客——而这也正是 HackerOne 想要转变的中央。

  5 年前，当 Google 开端向黑客付出 3133.7 美元来购买毛病信息之后，科技公司开端回报黑客（31337 是黑客界表示“精英”的行话）。自那以后，Google 付出的最高单笔奖励高达15 万美元，付出给黑客的总奖金也已经超过了 400 万美元。Rice 和 Moussouris 则在Facebook 和微软辨别尝试了毛病发明奖励筹划。

  其 他人则发明，只是简略地给黑客荣誉上的奖励，或者给他们送一些小玩意儿，已经没有用了。雅虎的宁静主管 Ramses Martinez 说，在两个黑客批评雅虎公司拿 T 恤换 4 个代价数千美元的毛病以后，他在 2013 年启动了雅虎的毛病发明奖励筹划。现 在 Martinez说，他以为毛病奖励是件“不消动脑筋的事”。

  “既然那么大、那么知名的公司都接纳了这种方法，那么关于这种筹划的很多担心也就被打消了，”他说。

  但 大部分公司还是不会为黑客的发明付钱，其中就包括了苹果公司——今年到现在，它已经出现了约莫 100 个宁静毛病，一些毛病非常紧张，可以让打击者挟制 用户的暗码。当然，苹果公司一个毛病的市价已经高达 50 万美元，这相称于微软付出给黑客的所有的奖金，所以苹果公司的奖金要想赶上市场价格，那得非常 非常高才行。

  “很多公司都有黑客，它们只是不晓得而已，”HackerOne 的首席执行官 Terheggen 说，“暴徒就在那边，除非你邀请，不然好人是不会现身的。”

  HackerOne 是个 18 岁的黑客，他说，13 岁的时间，他在好奇心的驱使下开端入侵PayPal 和 Facebook 如许的服务。他在 PayPal 发明了 10 个毛病， 在 Facebook 发明了一个毛病，这些毛病让他挣到了将近 5000 美元。他一直坚持探求毛病，并且已经在HackerOne 上发明 了 26 家公司体系存在的毛病，光赏金就赚了 4 万多美元。

  他 也晓得本身还有别的选择。一个政府的中心人曾经发起为 Wordpress 博客平台中的一个简略毛病付给他 3000 美元，并说更紧张的毛病给的钱更 多。但他拒绝了。“你不晓得他们会如何使用这个毛病，或者都有谁会使用它，”Beg 说。他还说，中心人想让黑客永久不要报告他人他们发明的毛病，这实在是减少了发明毛病这个历程中的一部分乐趣。

  HackerOne 上会聚了约莫 1500 名黑客。他们已经修复了约莫 9000 个毛病，共收到 300多万美元赏金。对于方才开端思量付出毛病发明奖金的公司来 说， HackerOne 是一个搜集了声誉良好的黑客的平台，并且还资助它们处置惩罚了整个历程里的文书事变，好比报税和付出。

  HackerOne 并不是唯一一家做这个业务的公司。它还要和创立了这种奖励筹划的Facebook、微软和 Google 展开竞争（公司创始人也出自这些企 业，HackerOn e的顾问 Chris Evans 也是 Google 的毛病发明奖励筹划的创始者。）一些公司，好比联合航空（United Airlines），最近也启动了本身的毛病发明奖励筹划。一位宁静研究人员在Twitter 上发消息，公布了联合航空飞机机上 Wifi 体系存在的 一个毛病，并且报告 FBI 说他已经在坐飞机的时间细致查看了飞机的网络。随后，联合航空开端给发明毛病的黑客赠送免费的常旅客优惠里程。

  HackerOne 的竞争对手还有 Bugcrowd，它是一家类似的创业公司，向公司收取年费，资助它们管理毛病发明奖励筹划。Bugcrowd 的客户都是些年轻的公司，好比 Pinterest，还有像西联汇款如许的机构。

  HackerOne 和它的竞争对手们可能会在未来的几个月里面临一个庞大的羁系障碍。政府正在思量对《瓦森纳协议（Wassenaar Arrangement）》进行修改——它是由 41 国在 20年前签订的一个出口管制协议，签订国包括俄罗斯、一些欧洲国家和美国，它要求研究人员在 向签订国以本国家的公司递交毛病信息之前，必须失掉相关国家政府的允许。

  “政府可能不会在乎紧张性较低的问题，但关键的毛病可就是另一回事了，” Bugcrowd  负责宁静运营的高级总监 Kymberlee Price 说，“对于研究人员是否可以把毛病信息报告花旗银行这件事，我们真的该让俄罗斯政府参与决议吗？”