安全研究员Paul LaRosa(化名“MrBruh”)近期曝光了一场与AMD长达四个月的拉锯战,核心争议点在于一个高通配号的漏洞被发现了,但号称“安全”的赏金却一分没到账。
事情要追溯到今年2月,LaRosa发现AMD自动更新器存在一个严重的远程代码执行漏洞。他向官方报告后,AMD以“中间人攻击不在赏金范围内”为由,拒绝支付1万美元(约合人民币6.7万元)的漏洞奖金。AMD不仅不给钱,还要求他撤下相关技术博文,并承诺会发布CVE编号、修复软件并公开致谢——但明确表态:“不给钱,没商量。”
这个漏洞的核心病灶在于:AMD的自动更新器竟然还在使用不安全的HTTP协议下载驱动程序,且完全没有数字签名验证。这意味着,在同个网络内的攻击者可以轻易拦截流量,将合法的驱动程序替换成恶意程序,再利用更新器的高权限实现远程代码执行。该漏洞被分配编号CVE-2026-40677,CVSS(通用漏洞评分系统)评分高达7.7。
最初,LaRosa按照行业标准的90天披露窗口期与AMD沟通,希望对方能及时修复。但AMD以“多个工具受影响”为由,多次要求延期,最终拖到了124天。LaRosa事后验证发现,修复后的版本确实改用HTTPS加密下载,但文件完整性验证仍然依赖已过时的CRC32哈希校验,而非现代的加密签名。换句话说,补丁只修了一层皮,内核的安全性依然脆弱。
更戏剧性的是,有Reddit用户指出该漏洞的代码路径在实践中可能从未被实际调用,因为相关更新代码自身处于“无法更新自己”的损坏状态。换言之,普通用户即便什么都不做,也从未暴露于该风险之下。如果真是这样,AMD长达四个月的紧张修复更像是一场没有实际威胁的技术闹剧。
而在此次漏洞处理期间,AMD还悄然修改了漏洞赏金条款,新增了“未经AMD书面同意不得披露漏洞信息”的规定。这一操作被业内人士解读为堵住研究员公开维权的出口。最终,AMD的漏洞公告虽然确认了问题并向LaRosa公开致谢,但他依然没有收到任何经济补偿。
这场“发现漏洞-修复漏洞-不给赏金”的循环,正在让越来越多的安全研究员重新审视:大厂的漏洞赏金计划,到底是鼓励安全贡献,还是在规避法律风险?
