一个漏洞,我写了3天报告,奖励了500块

2026年春节前,阿明(化名)在某个知名互联网公司的SRC(安全应急响应中心)上提交了一个高危漏洞。

这个漏洞可以让攻击者绕过登录验证,直接访问任意用户的订单数据——包括姓名、电话、地址、消费记录。理论上影响上亿用户。

阿明花了3天时间写报告:漏洞复现步骤、技术原理分析、影响范围评估、修复建议。报告写了12页,附带3个PoC(概念验证)视频。

一周后,SRC的回复来了:漏洞评级——「中危」。奖励金额——500元。

阿明气笑了。

「这不是个例,」他说,「2026年,国内SRC的漏洞定价已经低到离谱了。一个高危漏洞,在我们这种白帽子看来可能造成上亿的损失,但在SRC那里,评级人员和奖金标准是『内部制定』的,你完全没有议价权。」

他给我看了几家主流SRC的漏洞奖励标准:

  • 某电商平台:高危漏洞奖励500-2000元
  • 某社交平台:高危漏洞奖励1000-3000元
  • 某支付平台:高危漏洞奖励3000-10000元
  • 某手机厂商:高危漏洞奖励5000-20000元

对比一下:同样的漏洞,如果提交给Google的VRP(漏洞奖励计划),奖励是5000-30000美元。提交给Apple的漏洞赏金计划,最高可以拿到100万美元。

「这就是为什么越来越多的中国白帽子选择把漏洞卖给国外的漏洞收购平台,或者直接卖给Zerodium(零日漏洞交易商),」阿明说,「一样的技术,一样的漏洞,在国内拿500块,在国外拿5万美金。换你你怎么选?」

但「卖到国外」这个选择,可能让你坐牢

2026年,中国白帽黑客最大的困境不是「赚不到钱」,而是「赚到钱可能违法」。

《网络安全法》和《数据安全法》明确规定,未经授权,任何个人和组织不得向境外提供在境内收集和产生的个人信息和重要数据。漏洞信息是否属于「重要数据」?在某些情况下,是。

2025年,有一个白帽黑客因为将某「关键信息基础设施」的漏洞信息提交给了国外的漏洞奖励平台,被认定为「非法向境外提供数据」,判了两年有期徒刑,缓刑三年。

这个案例在圈内引起了巨大震动。

「你知道最讽刺的是什么吗?」阿明说,「他最先把这个漏洞提交给了那个平台的国内SRC,等了三个月没回复。然后他才提交给了国外的平台。结果国内SRC没给他奖励,司法机关给了他一个判决。」

这不是孤例。2026年,白帽黑客的法律风险正在从「灰色地带」变成「明确的法律红线」。越来越多的白帽子开始要求SRC签署「漏洞挖掘授权协议」——一份明确声明「你在我的系统上挖漏洞是合法行为」的文件。但愿意签这份协议的公司寥寥无几。

「公司法务的逻辑是:签了就是承认授权,万一你挖漏洞的时候造成了什么损失,责任在公司。不签,出了事就是你个人行为,公司可以撇清关系。」阿明说。

白帽黑客的「生存法则」

2026年,中国的白帽黑客社群正在分化成三个梯队:

金字塔尖:独立安全研究员。 这些人是行业里的「大神」,通常有自己的安全研究方向和品牌。他们不靠SRC漏洞奖励赚钱,而是靠给企业做安全咨询、做安全培训、参加安全会议、写安全研究文章。年收入可以到100-500万。但整个中国可能只有不到100个人在这个层级。

中间层:全职漏洞猎人。 像阿明一样,靠找漏洞提交给各种漏洞奖励平台赚钱。他们需要保持高产——每个月至少要找到2-3个高危漏洞,才能维持体面的收入。年收入在30-100万之间。但这个层级的人面临最大的「内卷」压力——因为漏洞越来越难找,平台压价越来越狠。

底层:新人白帽子。 刚入行1-2年的新人,技术水平参差不齐。他们中的很多人连SRC的门槛都摸不到,只能在一些低质量的漏洞平台上「捡漏」——找一些低危漏洞,领几十到几百块的奖励。大部分人在这个阶段就放弃了。

阿明属于中间层。他2025年的收入大约是80万,2026年预计能到100万。但他跟我说,他正在考虑退出。

「我今年29岁,每天坐在电脑前分析代码、找漏洞、写报告,16个小时。我的颈椎已经不行了,我的社交能力退化了,我的朋友只剩下安全圈子里的人。而且我知道,这个行业就是吃青春饭——新漏洞、新技术、新框架层出不穷,你停下来哪怕半年,你就跟不上了。」

最可怕的不是黑客,是「法务风险」

我问他:「做白帽黑客最怕什么?」

我以为他会说「怕被黑产盯上」或者「怕自己挖的漏洞被坏人利用」。

但他说的完全出乎我的意料:「公司法务。」

「我每次提交一个漏洞,都会担心——这个漏洞会不会被公司认定为『网络攻击行为』?我提交漏洞的时候,有没有可能被公司的法务部门反手一个报警?你有没有发现,我跟你聊天用的是化名,我不能告诉你我到底挖过哪些公司的漏洞,我甚至连我的真实工作城市都不能说。」

「为什么?」

「因为2026年,『白帽黑客』这个身份在中国没有法律保护。没有一个法律条文明确说『经授权的漏洞挖掘行为是合法的』。我们做的是维护网络安全的事,但我们的身份随时可能从『安全研究员』变成『犯罪嫌疑人』。这中间的距离,就是一个公司法务的举报电话。」

最后说一句

白帽黑客是网络安全生态中最关键的一环——他们发现漏洞,企业修复漏洞,攻击者就少了一个入侵的入口。

但2026年的中国,白帽黑客的生存环境正在恶化:SRC奖励越来越低,法律风险越来越高,技术门槛越来越高,竞争越来越激烈。

如果你是一个想进入这个行业的新人,我的建议是:先学法律,再学技术。知道什么能做、什么不能做、什么能做但有风险。在这个行业里,技术能力决定了你的天花板,但法律意识决定了你会不会进监狱。

而对于那些已经在行业内的人——保护好自己。签授权协议,保留沟通记录,永远不要觉得「我只是在帮他们找漏洞,他们不会反咬我一口」。

因为法务的KPI,不是保护你的安全,而是保护公司的利益。