今天我吃到了一個(gè)網(wǎng)絡(luò)安全領(lǐng)域的瓜：

根據(jù)聊天記錄透露的信息，事情大概是這樣：

一個(gè)挖洞的白帽子，挖到了一家公司的沙箱的漏洞，可以實(shí)現(xiàn)沙箱逃逸。

（這里插一句：沙箱是網(wǎng)絡(luò)安全領(lǐng)域分析惡意樣本文件的主流軟件技術(shù)，通過將樣本放置于沙箱的虛擬環(huán)境中運(yùn)行，觀測(cè)其動(dòng)態(tài)行為表現(xiàn)，來綜合分析樣本是不是惡意軟件）

這家公司是安全圈有名的公司，前段時(shí)間還因?yàn)殚_發(fā)監(jiān)控員工離職傾向分析的功能上過熱搜。

據(jù)白帽子的自述，他挖到這個(gè)漏洞之后，報(bào)給了這家公司的安全響應(yīng)中心SRC。

這家公司的員工答復(fù)他說可以給他2萬獎(jiǎng)金，但等他提交之后，對(duì)方不認(rèn)賬了，以一些理由推脫說這是正常功能設(shè)定，不算是漏洞，之前承諾的2萬塊錢沒了。

得到這個(gè)答復(fù)的白帽子，一下就怒了。在交涉無果之后，選擇了將漏洞信息發(fā)布在了GitHub上。

然鵝，很快，這家安全公司就選擇了報(bào)警，警察叔叔很快就找到了這位白帽子。

以上就是白帽子自述整件事的大致經(jīng)過。

在吃到瓜的幾個(gè)小時(shí)之后，這位白帽子的Github鏈接已經(jīng)404了，辦事效率真不錯(cuò)。

這位白帽子很是郁悶，我辛辛苦苦挖的漏洞，你前后態(tài)度截然不同，說過的錢不給也就罷了，既然你們不承認(rèn)是漏洞，那我發(fā)到GitHub上后，為啥又報(bào)警說我把漏洞信息發(fā)布到境外平臺(tái)？這不是自相矛盾嗎？

小白鴿想告訴大家，白帽子們?yōu)榱俗陨戆踩?，還是把目光投向國(guó)外吧。去挖微軟、蘋果、谷歌、Adobe、Oracle的漏洞，哪個(gè)不是既有錢又有面兒？掙美刀不香嗎？何必過的膽戰(zhàn)心驚的，天天擔(dān)心被送溫暖。

不過話說回來，如果以后國(guó)內(nèi)白帽子都不敢去挖國(guó)內(nèi)公司的漏洞了，這對(duì)國(guó)內(nèi)的網(wǎng)絡(luò)安全也是一種看不到的傷害。

你管得到里面的人，但管不了外面的人，人家挖到可能就不是貪圖你那三瓜倆棗的了，說不定會(huì)帶來更大的損失和更嚴(yán)重的后果。

烏云倒下之后，漏洞就變少了嗎？

對(duì)于這件事，大家怎么看？