临时撤档

上周在爱尔兰举办的 Pwn2Own 2025 黑客大赛现场，气氛一度达到高潮，趋势科技ZDI组织方准备颁发超过百万美元的奖金，奖励那些成功攻破打印机、路由器乃至智能家居系统的白帽黑客们。

然而，最受期待的压轴大戏——Team Z3团队针对WhatsApp的百万美元零点击漏洞演示，却在周四意外缺席。

一再推迟

ZDI官方最初以"行程问题"解释延迟，随后改口称研究人员因"准备不足"而退赛。但晚间又透露，名为Eugene的研究人员仍将私下提交漏洞细节。

"Team Z3正在向ZDI分析师披露发现，评估后将移交Meta。"ZDI威胁感知负责人Dustin Childs 称。

然而事件在次日再度反转，Eugene向媒体证实，退赛决定涉及ZDI、Meta三方共识，部分原因是为保护其身份隐私。他强调已签署保密协议，封存所有技术细节。

漏洞风险成谜

面对这场风波，WhatsApp的回应更加耐人寻味，公司发言人表示仅收到两个"低风险"漏洞，均无法实现任意代码执行，与百万美元零点击漏洞的预期相去甚远。

有一种说法认为，百万美元标价的漏洞若确实存在，其私下交易价值可能远超公开奖金。而厂商倾向于将威胁定性为"低风险"，也是常见的危机公关策略。

Eugene的退赛选择折射出安全研究者的两难处境：公开演示可能暴露技术细节，私下交易又面临法律风险。在漏洞经济的灰色地带，白帽黑客们不得不在技术理想与现实利益间寻找平衡。

正如某位资深安全研究员所言："真正的零日漏洞就像暗夜中的流星，大多数人只听闻传说，却无缘亲眼见证。"

或许，流星已划过夜空，只是有人选择记录，有人选择沉默。