zerodayinitiative.com

一句话介绍

Zero Day Initiative（ZDI）是由全球网络安全巨头 Trend Micro 旗下的一个知名漏洞奖励平台，专门为全球安全研究员提供现金奖励，鼓励他们向厂商报告尚未公开的零日漏洞。它并不直接销售软件或服务，而是作为漏洞发现者与软件厂商之间的桥梁，帮助厂商在漏洞被恶意利用前完成修复。安全研究员选择 ZDI 主要是因为它信誉度高、奖励透明、收购漏洞后能确保自己的发现被负责任地披露。

业务详解

ZDI 成立于 2005 年，是 Trend Micro 旗下专门运营漏洞收购计划的部门。其核心模式是：研究员发现一个零日漏洞后，通过 ZDI 提交报告，ZDI 进行验证、评估风险等级，然后向研究员支付现金奖励，同时将漏洞信息协调给受影响的软件厂商，直到厂商发布补丁后，ZDI 才会公开漏洞细节。这一流程被称为“负责任披露”。ZDI 在漏洞奖励领域地位极高，常年与 Google 的漏洞奖励计划、Mozilla 的漏洞赏金计划并列，但 ZDI 覆盖面更广，涉及 Windows、macOS、iOS、Android 等主流操作系统以及 Adobe、Microsoft、Apple 等多家厂商的软件。其主要客户是大型软件厂商和安全研究员，前者通过 ZDI 提前获知漏洞信息，后者则获得经济回报和行业声誉。

适合谁用

ZDI 主要面向两类人群：一是拥有较强逆向工程和漏洞挖掘能力的独立安全研究员，包括白帽黑客、安全团队、大学实验室的研究人员；二是企业内部的安全团队，他们可能通过 ZDI 来验证自己产品的安全性，或者通过提交漏洞获得外部视角。对于个人开发者或刚入行的安全爱好者，ZDI 的门槛较高，因为奖励金额通常与漏洞的严重程度挂钩，且需要提交完整的技术报告。最适合的场景是，如果你已经具备挖掘零日漏洞的能力，并且希望获得稳定、透明的现金回报，ZDI 是一个可靠的选择。对于只想测试某个特定产品的普通用户，ZDI 并不适合，因为它不是面向普通消费者的服务。

关键功能与亮点

• 高额现金奖励：ZDI 对高危零日漏洞的奖励金额通常从几千美元到几十万美元不等，具体取决于漏洞的影响范围和利用难度，在行业内属于中上水平。
• 负责任披露流程：研究员提交漏洞后，ZDI 会协调厂商修复，并在补丁发布后公开漏洞细节，保护研究员的发现权和声誉。
• 覆盖厂商广泛：ZDI 支持的软件厂商包括 Microsoft、Apple、Adobe、Google、Oracle 等 200 多家，几乎涵盖所有主流操作系统和常用软件。
• 专业验证团队：ZDI 拥有 Trend Micro 内部的资深安全团队对漏洞进行验证和评级，避免研究员因误判而浪费时间。
• 透明奖励标准：ZDI 公开了漏洞评分标准（基于 CVSS 和自身规则），研究员可以提前预估奖励金额，减少不确定性。
• 年度 Pwn2Own 大赛：ZDI 主办全球知名的 Pwn2Own 黑客大赛，获奖者不仅能获得高额奖金，还能显著提升行业声望。

价格分析

ZDI 的漏洞奖励计划并非按固定月费或年费收费，而是按单个漏洞的严重程度和影响范围支付奖金。根据 ZDI 官网公开信息，漏洞奖励金额通常在 500 美元到 30 万美元之间，具体取决于漏洞的利用复杂度、是否影响默认配置、是否需要用户交互等。例如，一个 Windows 内核远程代码执行漏洞可能奖励 10 万到 20 万美元，一个普通 Web 应用的 XSS 漏洞可能只有几百美元。在同类漏洞奖励计划中，ZDI 的奖励金额属于中等偏上，略低于 Google 的某些高额漏洞奖励（如 Chrome 浏览器漏洞最高可达 50 万美元），但高于多数厂商自营的漏洞奖励计划。没有隐藏费用，研究员提交漏洞后，ZDI 会在验证通过后直接支付，无需任何前期投入。因此，对于有能力发现零日漏洞的研究员来说，性价比极高；对于普通用户，这项服务完全不适用。

中国用户怎么用

对于中国用户，ZDI 基本可用，但需要注意以下几点。首先，访问 ZDI 官网（zerodayinitiative.com）在中国大陆无需科学上网，直接可以打开，页面加载速度正常。其次，提交漏洞报告、查看奖励标准等核心功能都不需要特殊网络工具。支付方面，ZDI 支持通过 PayPal、银行电汇等方式向研究员支付奖金，中国用户可以使用 PayPal 或提供大陆银行账户接收美元汇款，但需要注意银行电汇可能产生手续费，且收款后需要自行处理外汇申报和税务问题。ZDI 目前没有明确说明是否能为中国研究员开具发票，因为漏洞奖励属于个人劳务收入，通常不提供增值税发票，建议在提交前通过 ZDI 官方邮件咨询。国内同类替代品包括阿里云漏洞响应平台、腾讯安全应急响应中心等，但 ZDI 的覆盖厂商更广、奖励金额更高，适合追求国际影响力的研究员。

优缺点对比

优点

• 行业信誉极高，Trend Micro 背书，付款可靠
• 覆盖厂商范围极广，一个平台可提交多个品牌的漏洞
• 奖励金额透明且较高，尤其对高危漏洞
• 负责任披露流程保护研究员声誉
• 年度 Pwn2Own 大赛可额外提升个人品牌

缺点

• 门槛高，普通白帽或新手难以获得奖励
• 支付方式对国内用户不够友好，需要自行处理外汇
• 无法开具国内发票，企业用户报销可能困难
• 漏洞验证周期较长，有时需要数周
• 对低危漏洞的奖励金额较低，性价比不如厂商自营计划

同类产品对比

• Google Project Zero / 漏洞奖励计划：Google 旗下的漏洞奖励计划，主要覆盖 Chrome、Android 等自家产品，奖励金额上限更高（可达 50 万美元），但覆盖厂商远少于 ZDI，适合专注于 Google 生态的研究员。
• HackerOne 平台：HackerOne 是一个聚合型漏洞众测平台，厂商可以自行发布漏洞奖励计划，研究员可参与多个项目。相比 ZDI，HackerOne 的门槛更低，适合新手，但奖励金额通常不如 ZDI 对零日漏洞的收购高。
• 国内漏洞平台（如补天、漏洞盒子）：这些平台更贴近中国用户，支付方式支持支付宝、微信，且能提供发票，适合国内企业白帽。但覆盖的厂商主要是国内互联网公司，国际影响力远低于 ZDI，奖励金额也普遍较低。

总结建议

ZDI 最适合已经具备扎实漏洞挖掘能力的专业安全研究员，尤其是那些希望在国际安全社区建立声誉、获取高额现金奖励的人。如果你专注于 Microsoft、Apple、Adobe 等国际厂商的零日漏洞，ZDI 几乎是首选平台，因为它覆盖广、信誉好、奖励透明。但如果你只是安全新手，或者主要面向国内企业做渗透测试，建议先从国内漏洞平台（如补天、漏洞盒子）入手，这些平台门槛低、支付方便。对于企业安全团队，如果希望测试自家产品的安全性，ZDI 可以作为外部漏洞收购的补充渠道，但需要提前与财务部门确认能否处理海外收款。总体而言，ZDI 没有免费试用或退款政策，因为它不是订阅制服务，研究员提交漏洞后直接按结果付费，所以建议直接根据自身能力判断是否参与，不必犹豫。