美國商務部周三提交了新的出口限制禁令，將未公開的軟件漏洞視為潛在武器。此舉旨在減少安全行業(yè)為敵對國家提供的可能幫助。但是很多安全研究人員表示，美國商務部的出口限制禁令可能無法遏制黑市，同時阻礙跨境合作和國防產(chǎn)品銷售。

商務部的禁令中覆蓋所謂的“零日漏洞”(zero-day)以及軟件開發(fā)商也不了解的安全漏洞。“零日漏洞”又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。

黑客與國防承包商經(jīng)常向政府機構(gòu)或軟件開發(fā)商出售有關此類漏洞的信息，美國內(nèi)部銷售則可以繼續(xù)。但是在未經(jīng)特別許可的情況下，“零日漏洞”及其支持能力的銷售在美國、英國、加拿大、澳大利亞以及新西蘭之外將被禁止。

美國安全廠商Netragard的首席執(zhí)行官阿德瑞爾·德斯特爾斯(Adriel Desautels)說：“在某種程度上，我認為實行‘零日漏洞’經(jīng)紀人許可制度是個好主意，可以預防美國人向伊朗出售軟件漏洞信息，某種形式的授權(quán)或監(jiān)管十分有用。但是監(jiān)管可能對安全行業(yè)整體存在潛在損害，這是個不折不扣的蠢主意。”

美國商務部的禁令是2013年41國簽署的協(xié)議的補充，即某些滲透性軟件也應該成為監(jiān)管對象，就像核武器和化學武器零部件一樣。多名研究人員稱，美國大國防承包商正尋找或花錢購買軟件漏洞，然后將其賣給情報機構(gòu)、軍方以及執(zhí)法機構(gòu)，他們很容易就可招募到律師，獲得某些海外銷售授權(quán)。

但中小型安全公司、獨立研究人員更有可能跨境出售相關軟件漏洞信息，很多信息甚至會落入犯罪分子手中。專門研究“零日漏洞”市場的蘭德公司安全專家莉莉安·阿布隆(Lillian Ablon)說：“這有可能對我們?nèi)绾芜M行弱點研究以及保護我們的系統(tǒng)產(chǎn)生重大影響。如果我們限制尋找漏洞的白帽黑客的能力，只會令壞人作惡更容易。”

盡管開源軟件和科學研究可享有豁免權(quán)，但是如果商務部禁令被采用，將對軟件漏洞以及利用它們的工具的合法市場產(chǎn)生重大影響，因為這些市場剛剛進入開放和成熟期。

更多公司近來開始付費購買“漏洞紅利”，對那些在他們的產(chǎn)品中發(fā)現(xiàn)安全漏洞的研究人員予以重獎，而不是驅(qū)使他們將漏洞賣給政府或黑客。多家初創(chuàng)企業(yè)甚至已經(jīng)開發(fā)出新的職業(yè)化“報告-回報”系統(tǒng)，更小型公司都可從中獲益。

獲得風險投資支持的初創(chuàng)企業(yè)HackerOne首席策略官凱蒂·穆索瑞斯 (Katie Moussouris) 稱，將來，海外公司可能不得不向研究人員提供現(xiàn)金獎勵和指導，以獲得出口授權(quán)，確保他們自己的程序更加安全。(風帆)