原文标题：Study Club, Labor Union or Start-Up? Characterizing Teams and Collaboration in the Bug Bounty Ecosystem
原文作者：Yangheran Piao, Temima Hrle, Daniel W.Woods, Ross Anderson
原文链接：https://www.computer.org/10.1109/SP61157.2025.00020
发表期刊：IEEE S&P'25 (Oakland) 
笔记作者：CDra90n@安全学术圈
主编：黄诚@安全学术圈

0x01 Introduction

漏洞赏金计划和平台（Bug Bounty Programmes & Platforms）为各厂商提供了一个框架，使其能向发现其系统漏洞的外部安全研究人员支付报酬。自“漏洞赏金”这一概念在上世纪九十年代被提出并实践以来，行业已经发展了三十多年。在此期间，中国形成了自己独特的漏洞赏金生态系统。不同于国际或西方的漏洞赏金平台，中国平台为漏洞赏金猎人（即白帽子）提供了组队机制（Teaming Mechanism）。

对于大型国际赏金平台，目前只有 Bugcrowd 提供了类似于组队的隐性机制，即允许研究者在发现漏洞后分享赏金（Splitting Bounty），可视为一种鼓励白帽子合作的措施。除此之外，其他国际平台并未观察到存在显性的组队机制。在中国，大多数赏金平台和安全应急响应中心（Security Response Center）都允许多名白帽子以团队身份注册、参与活动，在允许团队自行运营的同时还提供团队级别奖励（包括金钱和荣誉）。鉴于目前对赏金猎人组队及合作情况的了解甚少，本文关注以下问题：

（1）赏金团队和猎人在各平台上的分布情况；

（2）赏金团队提供的功能或特性；

（3）猎人加入团队的动机和面临的挑战。

0x02 Methodology

为深入探索赏金猎人的团队合作，作者采用了混合方法研究团队在漏洞赏金生态系统中的作用。研究的第一阶段采用自顶向下的方法，在85个赏金平台/计划上进行定量分析，从整体角度描述了猎人团队的现状及近十年的变化，并探讨了这些变化与平台奖励活动之间的关联。第二阶段则采取自底向上的视角，对18名来自不同团队的漏洞猎人进行了半结构化访谈。作者从个体层面分析了成员间的互动，并确定了赏金团队的主要功能。

0x03 Results

RQ1: Hunter Teaming Ecosystem

在第一阶段的研究中，分析的数据来自各平台发布的白帽子和团队贡献排行榜（名人堂），主要包括了用户和团队的历史排名与贡献积分。出于道隐私考虑，在数据分析过程中对用户名和团队名称进行了伪匿名化处理，以确保数据保密性。下图展示了每个平台上注册的团队和用户数量，不包括仅报告TOP团队/用户（如前10名）的平台。各平台的团队数量从最少的5个到最多的543个不等，而三个最大的赏金计划则拥有超过2500名注册用户。

为了探究组队与未组队白帽子在生产力上的差异，作者对各平台上用户的贡献度/积分进行了统计分析。分析结果显示，组队白帽子的生产力在84%的平台上超过了未组队白帽子，平均贡献度是后者的两倍多。通过T检验得出的双尾P值小于0.01%，表明两者间的差异具有显著统计意义。组队的白帽子拥有较高贡献度可能是因为团队提升了猎人的能力，或者是因为团队招募了更多的精英猎人。

RQ2: Functions of Teams

本文第二阶段的定性分析揭示了漏洞赏金团队的多面性。赏金团队拥有三项主要功能，体现了团队在缓解白帽子面临的三大挑战中所做出的集体努力：即技能提升的需求、与平台沟通或谈判、以及收入不确定性。这些是所有赏金猎人共同面对的问题，而团队机制则为全球漏洞赏金社区提供了“中国经验”。

Labor Union：团队在处理猎人与供应商之间矛盾的沟通中提供了支持。从经济学的视角来看，由于漏洞本质上是信息商品，赏金猎人会面临不完整合同和沉没成本等问题。这些问题造成了赏金猎人与平台之间的不平等关系，从而引发双方的矛盾。对赏金猎人来说，这些矛盾表现为沟通低效/延迟、漏洞严重性评估不一致、奖励低于预期、问题未被认真对待甚至故意被忽视等情况。这些问题会导致猎人和团队决定不再向特定平台提交漏洞报告。即便有些纠纷最终未能解决，但很多猎人团队始终致力于维护成员权益。

Startup：一些团队或团队成员寻求传统漏洞赏金支付以外的收入来源，因此成立了创业公司或扩展了其他业务。这种做法有助于缓解收入不确定性的问题。已知的收入途径包括知识付费，安全技能培训，为企业进行渗透测试，以及提供技术支持等。此外，大部分平台为表现优异的团队提供的团队级奖励也为猎人带来了额外收入（具体因团队而异）。然而，也有一些白帽子对持谨慎态度，认为创业需要大量的商业资源和敏锐的市场洞察力，而盲目的尝试可能会影响自身和团队声誉。

RQ3: Reasons for joining & leaving

最后，猎人加入团队的动机总体上与团队的三个核心特性相关。主要原因包括获得学习机会、增加收入以及受到团队或成员良好声望的吸引。白帽团队不仅提供个人成长和收入多样化的潜力，还提供了有助于他们职业发展的专业网络。对于团队面临的挑战，主要包括整体活跃度低、成员间人际冲突以及个体时间不足，这些因素经常导致成员的离开。此外，管理不善和信息泄露等问题也是猎人离开的潜在原因。解决这些问题对于维护团队的凝聚力和促进发展至关重要。

0x04 Future Work

尽管本研究主要聚焦于中国的漏洞赏金生态系统，但赏金猎人的团队合作并不受地理或文化环境的限制。虽然没有直接研究，但自发组织的白帽子团体在世界各地都很常见。未来的研究应当在不同的环境中探索这些动态，以验证本研究在赏金团队中观察到的特性是否普遍实现，或根据不同环境存在变化。

此研究是剑桥大学和爱丁堡大学安全工程教授Ross Anderson的遗作，他在项目进行期间不幸离世。Ross是安全经济学的先驱，也是漏洞市场的早期探索者之一，谨在此缅怀Ross。

作者简介：Yangheran Piao，爱丁堡大学信息学院博士生，导师为Prof. Ross Anderson，Dr. Daniel Woods 和 Dr. Jingjie Li。研究兴趣包括 Security Economics、Usable Security 和 Cybercrime。
个人主页：https://blogs.ed.ac.uk/yangheran_piao/