最近了解,19 岁的 Santiago Lopez 通过 bug 悬赏平台 HackerOne 报告漏洞,成为第一位通过 bug 悬赏赚到一百万美元的白帽子黑客。他的白帽子生涯始于 2015 年,至今共报告了超过 1600 个安全漏洞。 他在 16 岁时赚到了第一笔 50 美元赏金,激励他从事白帽子生涯。 政府机构和企业如五角大楼、GM、Google、Twitter、GitHub、Nintendo、Lufthansa、Panasonic Avionics、Qualcomm、Starbucks、Dropbox 和 Intel 等与 HackerOne 合作发现了超过 10 万个漏洞,发放了 4500 多万美元赏金。 从某种角度讲,一定程度上"白帽子"已然是网络安全领域不可或缺的力量。 可反对的人也有他们的道理。"白帽子"是好,那怎么确定他能不"好心办坏事",或者自己就变成真正的黑客呢? 360公司董事长周鸿祎的话或许更能说明这个问题的关键。 最极端的情况是,如果‘白帽’黑客一直以不合法的身份做事情,那有可能他们会反而转向黑色产业链。" 再有就是没有法律支撑,在这一方面,无论"白帽子",还是漏洞平台,确实还没有合法的身份和地位。 这也就成为造成了第三种态度:不用吧,确实需要;用吧,又不放心,一直处于纠结犹豫中。 总之"白帽子"的处境那叫一个尴尬。 不管怎么说,"白帽子"根本上还是好的,只是在现实中还需要和各方的磨合吧。 或许正如360公司董事长周鸿祎所说:"白帽"黑客在中国仍属于新生事物,或许需要一定的规范和引导,应该以一种善意的目光去看待他们。