Zerodium漏洞平臺的交易顯示，市場已經準備好迎接價值100萬美元甚至更高的零日漏洞利用代碼。

法國公司Vupen Security被稱為網絡軍火商，它的主要業務是挖掘漏洞獲取賞金，而不是進行修復漏洞。漏洞經銷平臺Zerodium則脫胎于Vupen。本月初，Zerodium宣布，它同意為某蘋果iOS漏洞利用代碼支付100萬美金，該漏洞可以完全入侵該移動操作系統。然而漏洞的平均價格仍在數千至數萬美元水平上，過去只有極少數交易的價格超過10萬美金。100萬美元的賞金似乎對于該行業是一個突破性的量級增長。當然，在灰色的地下交易市場中，這樣的價格也并非沒有出現過，而為其支付巨額購買款的很可能是政府力量。高價格是由供求關系和時機需要而決定的。

雖然沒有實際證據表明Zerodium真的付出了100萬美元，但考慮到存在某些特定類型的買家，這個金額并不是完全不合情理。而且近年來，尋找和發現漏洞的難度逐漸加大也可能會導致賞金額度的攀升。

收購了原惠普公司漏洞研究團隊Zero-Day Initiative的趨勢公司全球威脅公關經理克里斯托弗·巴德（Christopher Budd）稱：“由于安全性的提升，我們在過去幾年中看到的產品已經很難找到漏洞。這影響了供求關系，也提升了研究人員的需求。”

事實上，主流軟件中出現并被修復的漏洞反而增加了漏洞的數量。比如，在2012年，谷歌提升了對Chrome瀏覽器漏洞的賞金額度，表明發現新安全漏洞的難度正在加大。“最終，隨著軟件變得更加強大，開發者對安全的了解進一步深入，黑客如果想要得到穩定的控制權限，必須同時使用多個漏洞和多項技術。這將需要更高的技能和時間成本，也將提升尋找漏洞能力的價值。”

也有反對此觀點的聲音。有人認為，盡管在表面上100萬美元的賞金表明市場價格正在升高。針對iOS平臺這個特定環境而言，高價格可能更多地來源于需求，而不是供給。很有可能的是，買家非常需要入侵iOS設備，并且樂意買賬。

誰會樂意為移動端零日漏洞付出100萬美金呢？潛在的買家名單非常短。一些安全公司可能樂意付給研究人員這么多錢，購買漏洞的信息，以加強自家安全產品的防御措施。通常而言，對這類漏洞感興趣的都是安全防御公司，它們尋找稀有，但是非常高優先級的漏洞。雖然可能沒有哪一家公司樂意付出100萬美金，一項支持數家安全企業的服務可能會為高優先級漏洞支付可觀的價格。

盡管對如此大額的賞金而言，最可能的解釋是，一個或多個情報機構需要破解特定手機的技術，并且愿意付錢。政府是最有可能的買家。

每次蘋果發布新的操作系統版本，比如iOS 9，就會同時修復舊的漏洞，這導致情報機構爭相尋找新的漏洞。由于iOS 9的更新率在發布僅三天后就達到了五成，如果無法很快找到新的漏洞，情報機構就真的要「摸黑」了。”

對于所有該漏洞的潛在買家而言，「摸黑」的風險至關重要。如果軟件存在漏洞，只要開發人員發布修復，漏洞買家手中的信息就等于無效化了。

比如，這個iOS漏洞的買家可能是蘋果公司，他們支付100萬美元，以在黑客利用漏洞之前消除危險。然而，只有微軟、臉書、谷歌這三家公司曾為了自家產品的漏洞付錢，沒有一家曾經付過12萬美金以上的價格。

這則100萬美元買漏洞的消息引起了安全圈的震動。一些批評者希望蘋果能夠幫忙修復漏洞，另一些人則指出，無論是漏洞的存在還是交易本身都無法確證，他們認為這次事件屬于公關噱頭。還有一些人擔心此漏洞會讓政府更加容易地監控公民。

然而，不論這次的買家究竟是誰，漏洞賞金額度正在提升是不爭的事實。

隨著信息技術滲透進日常生活的方方面面，利用漏洞滲透進核心軟件將成為秘密監控的最好方式。因此防御安全機構和情報機構都能夠從零日漏洞中發現巨大的價值。

IT安全企業必須跟上競業同行的腳步，如果公司不購買最新的漏洞信息，就可能發現自己已經落后于競爭對手。類似的因素也驅使國家購買漏洞。美國政府不再購買零日漏洞可能嗎？伊朗呢？朝鮮呢？這個市場主要由國家和政府推動，只要一方購買，其他國家也必須跟進，尤如軍備競賽。