近年來(lái)，漏洞賞金項(xiàng)目作為互聯(lián)網(wǎng)眾包模式在網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新應(yīng)用，已受到眾多白帽黑客和安全專家的廣泛關(guān)注與參與。通過互聯(lián)網(wǎng)+的安全漏洞懸賞項(xiàng)目，不僅可以借助全球白帽黑客進(jìn)行持續(xù)的安全性測(cè)試，發(fā)現(xiàn)影響重大的安全隱患，同時(shí)也可以為傳統(tǒng)防御性的網(wǎng)絡(luò)安全策略引入進(jìn)攻性理念，將人的因素置于網(wǎng)絡(luò)安全工作的核心位置。在本文中，收集整理了2023年啟動(dòng)的10個(gè)被行業(yè)廣泛關(guān)注的漏洞賞金項(xiàng)目。

01“黑入五角大樓”三期項(xiàng)目

今年1月，美國(guó)國(guó)防部宣布啟動(dòng)“黑入五角大樓”漏洞懸賞項(xiàng)目的第三期工作，此前兩期分別于2016年和2018年啟動(dòng)并完成。據(jù)該項(xiàng)目的啟動(dòng)公告顯示，“黑入五角大樓”三期項(xiàng)目的一個(gè)關(guān)鍵目標(biāo)是鼓勵(lì)白帽黑客攻擊國(guó)防部設(shè)施服務(wù)理事會(huì)（FSD）的相關(guān)控制系統(tǒng)（FRCS）網(wǎng)絡(luò)，發(fā)現(xiàn)其中的安全漏洞，并評(píng)估FRCS網(wǎng)絡(luò)當(dāng)前的網(wǎng)絡(luò)安全狀況，識(shí)別脆弱性和安全漏洞，以改善和加強(qiáng)整體安全狀況。

02Malwarebytes漏洞賞金計(jì)劃

2023年3月，反惡意軟件供應(yīng)商Malwarebytes公司宣布推出一項(xiàng)漏洞賞金項(xiàng)目，將為提交確認(rèn)的安全漏洞提供超過2000美元的漏洞賞金。該公司表示，測(cè)試人員可以對(duì)Malwarebytes的網(wǎng)絡(luò)資產(chǎn)或運(yùn)行其端點(diǎn)保護(hù)軟件的部分客戶進(jìn)行安全滲透攻擊測(cè)試，一旦發(fā)現(xiàn)構(gòu)成遠(yuǎn)程代碼執(zhí)行（RCE）風(fēng)險(xiǎn)的漏洞，或者可能導(dǎo)致AWS云基礎(chǔ)設(shè)施被接管的漏洞，將會(huì)獲得對(duì)應(yīng)的賞金獎(jiǎng)勵(lì)。Malwarebytes公司期望該活動(dòng)能夠確保其自身和主要客戶的網(wǎng)絡(luò)安全可靠。

03OpenAI的大模型漏洞賞金項(xiàng)目

2023年4月，ChatGPT的開發(fā)者OpenAI公司啟動(dòng)了一項(xiàng)新的漏洞懸賞項(xiàng)目，以支持開發(fā)更加安全可靠的人工智能應(yīng)用。據(jù)了解，OpenAI公司是通過與漏洞懸賞平臺(tái)Bugcrowd合作，來(lái)管理漏洞提交和獎(jiǎng)勵(lì)流程，旨在確保所有參與者都能獲得良好的項(xiàng)目參與體驗(yàn)。OpenAI公司表示，會(huì)根據(jù)報(bào)告問題的嚴(yán)重程度和影響提供現(xiàn)金獎(jiǎng)勵(lì)，獎(jiǎng)金最高可以達(dá)到2萬(wàn)美元（重大的高危漏洞）。

04LayerZero Labs發(fā)起Web3安全漏洞賞金項(xiàng)目

2023年5月，跨鏈通訊協(xié)議LayerZero開發(fā)商LayerZero Labs公司宣布與面向Web3的漏洞懸賞服務(wù)平臺(tái)Immunefi合作，啟動(dòng)一個(gè)新的漏洞懸賞項(xiàng)目。LayerZero Labs公司表示，如果參與者發(fā)現(xiàn)高危程度的安全漏洞，最高將可能獲得1500萬(wàn)美元的獎(jiǎng)勵(lì)。具體而言，獎(jiǎng)勵(lì)按照Immunefi漏洞嚴(yán)重程度分類系統(tǒng)V2.2評(píng)估的漏洞影響來(lái)分配。這是一個(gè)包含5個(gè)等級(jí)的量化表，分別針對(duì)網(wǎng)站/應(yīng)用程序、智能合約和區(qū)塊鏈/ DLT領(lǐng)域的漏洞威脅和影響。

05針對(duì)SquareX網(wǎng)絡(luò)安全產(chǎn)品的漏洞賞金項(xiàng)目

2023年6月，終端安全供應(yīng)商SquareX宣布發(fā)起一個(gè)漏洞懸賞項(xiàng)目，邀請(qǐng)黑客、安全研究人員、技術(shù)人員和學(xué)生對(duì)該公司研發(fā)的基于瀏覽器網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行安全攻擊測(cè)試，并在產(chǎn)品發(fā)布前發(fā)現(xiàn)其中的安全漏洞。

為了獎(jiǎng)勵(lì)參與項(xiàng)目的白帽黑客，SquareX將為成功發(fā)現(xiàn)、報(bào)告和證明的漏洞提供最高可達(dá)25000美元的獎(jiǎng)勵(lì)。據(jù)SquareX介紹，活動(dòng)吸引了來(lái)自印度、美國(guó)和德國(guó)等地的數(shù)百名白帽黑客踴躍參與，共對(duì)其產(chǎn)品發(fā)起了數(shù)千次自動(dòng)掃描和針對(duì)性攻擊，但是并沒有發(fā)現(xiàn)比較嚴(yán)重的漏洞。

06歐洲免費(fèi)安全漏洞眾測(cè)項(xiàng)目

2023年7月，安全眾測(cè)服務(wù)平臺(tái)Hack4Values宣布推出一個(gè)面向歐洲非政府組織和非營(yíng)利組織的免費(fèi)漏洞懸賞項(xiàng)目。該項(xiàng)目旨在為非政府組織和非營(yíng)利組織提供免費(fèi)的安全眾測(cè)服務(wù)，以幫助識(shí)別組織中潛在的安全風(fēng)險(xiǎn)，Hack4Values平臺(tái)還提供相應(yīng)的解決方案，幫助這些組織解決所發(fā)現(xiàn)的漏洞風(fēng)險(xiǎn)。據(jù)了解，自項(xiàng)目啟動(dòng)以來(lái)，已有50多名自愿參加Hack4Values項(xiàng)目的道德黑客為包括10個(gè)非政府組織提供了安全性滲透測(cè)試服務(wù)。

07Huntr AI漏洞賞金計(jì)劃平臺(tái)

2023年8月，Protect AI公司宣布啟動(dòng)針對(duì)人工智能和機(jī)器學(xué)習(xí)應(yīng)用的漏洞懸賞平臺(tái)Huntr。該公司表示，推出這一平臺(tái)的主要目的是打造強(qiáng)大的AI安全研究社區(qū)，更好發(fā)現(xiàn)人工智能和機(jī)器學(xué)習(xí)軟件包、代碼庫(kù)、框架和模型中的安全漏洞，并提供相應(yīng)的修復(fù)方法。

據(jù)了解，該平臺(tái)會(huì)按月舉辦競(jìng)賽活動(dòng)，為研究人員提供展示技能和獲得獎(jiǎng)勵(lì)的機(jī)會(huì)，其首屆比賽專注于Hugging Face Transformers，獎(jiǎng)金高達(dá)5萬(wàn)美元。

08雅虎發(fā)起公共安全漏洞賞金項(xiàng)目

2023年9月，雅虎公司宣布與安全眾測(cè)服務(wù)公司Intigriti合作，啟動(dòng)一個(gè)新的公共漏洞懸賞項(xiàng)目。該項(xiàng)目涉及近70項(xiàng)資產(chǎn)，包括雅虎的高價(jià)值互聯(lián)網(wǎng)域名、API、搜索服務(wù)、雅虎購(gòu)物、雅虎郵件以及雅虎體育等方面，目前已經(jīng)吸引了7.5萬(wàn)名白帽黑客參與。

雅虎公司表示，懸賞金額與漏洞的潛在影響成正比，發(fā)現(xiàn)高危安全漏洞最高可獲得超過1.5萬(wàn)美元的獎(jiǎng)金。該項(xiàng)目還為“奪旗”（CTF）大賽中名列前茅的參賽團(tuán)隊(duì)提供額外的獎(jiǎng)金，此舉旨在吸引頂級(jí)網(wǎng)絡(luò)安全人才參與，促進(jìn)白帽黑客之間的合作。

09加密貨幣交易所Uniswap啟動(dòng)漏洞賞金項(xiàng)目

2023年9月，去中心化加密貨幣交易所Uniswap宣布啟動(dòng)一個(gè)新的漏洞懸賞項(xiàng)目，根據(jù)參與者所發(fā)現(xiàn)漏洞的嚴(yán)重程度和所影響資產(chǎn)，將提供高達(dá)225萬(wàn)美元的獎(jiǎng)勵(lì)。該項(xiàng)目主要面向Uniswap部署的智能合約中的各類漏洞和風(fēng)險(xiǎn)，這些智能合約有可能在眾多GitHub代碼存儲(chǔ)庫(kù)中被找到，包括通用路由器合約代碼、Permit2合約代碼、V3合約代碼和UniswapX合約代碼等。

10谷歌擴(kuò)大漏洞賞金項(xiàng)目的范圍

2023年10月，谷歌公司宣布擴(kuò)大漏洞懸賞項(xiàng)目的范圍，將生成式人工智能等特有的安全問題也納入項(xiàng)目中。谷歌公司表示，此舉是為了激勵(lì)人工智能安全方面的研究，揭露潛在問題，最終確保人工智能對(duì)所有人都更安全。

谷歌公司還宣布，將擴(kuò)大開源安全工作，確保人工智能供應(yīng)鏈安全方面的信息能夠被更好發(fā)現(xiàn)和驗(yàn)證。谷歌的工程技術(shù)團(tuán)隊(duì)詳細(xì)列出了有資格獲得獎(jiǎng)勵(lì)的人工智能攻擊場(chǎng)景，包括提示攻擊、訓(xùn)練數(shù)據(jù)提取、操縱模型、對(duì)抗性擾動(dòng)以及模型盜竊等。