【科技随笔】

  2月27日，豆包手机助手微博发布关于恶意炒作“豆包手机助手漏洞”黑公关行为的严正声明。声明中提到，截至目前，并未收到豆包手机助手漏洞的详细报告，也未接到网络安全相关监管部门的通报。根据国家《网络产品安全漏洞管理规定》，违规公开漏洞已涉嫌违法。

  这则声明将“网络产品安全漏洞能否随意公开”的话题推向公众视野，也让一个关键问题浮出水面：为什么发现了网络安全漏洞，却不能立即公之于众？

  记者查阅到，2021年，工业和信息化部、国家互联网信息办公室、公安部发布了《网络产品安全漏洞管理规定》，第一条开宗明义地指出，“为了规范网络产品安全漏洞发现、报告、修补和发布等行为，防范网络安全风险，根据《中华人民共和国网络安全法》，制定本规定。”

  第六条规定：鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

  第九条第一款规定：不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。

  第五款规定：在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。

  所谓漏洞“抢发”，就是在网络产品提供者尚未出台修补措施、未完成风险防控之前，擅自将漏洞信息公之于众，甚至夸大其词、制造恐慌。

  试想一下，当厂商还未察觉漏洞存在、未启动任何修复工作时，漏洞的利用路径、技术细节已经在网上“裸奔”。对黑客来说，这哪是漏洞曝光，简直是送上门来的“入侵说明书”啊！不用动脑子，照着视频一步步来，就能批量破门而入。而对普通用户，只听说“你家门不安全”，却不知道该怎么办、什么时候能修好。

  有人会说了，就算流程不合规，“曝光漏洞”难道不是一种行业监督吗？

  事实上，正当的行业监督与恶意的漏洞“抢发”，有着本质区别。正当的监督，必然遵循合规流程——发现漏洞后，先向厂商合规上报，提供完整技术细节，协助厂商排查修复，待防护措施落地后，再同步公开漏洞及解决方案，其核心是推动问题解决、守护公共利益。

  从全球网络安全行业来看，“负责任漏洞披露”原则早已是行业共识与通用准则，即“在确保问题被妥善修复之前，不公开传播漏洞细节”。这不是要包庇企业、掩盖问题，恰恰相反，是为了在解决问题的同时，不让问题成为新的问题。

  文/战钊