@EthanDon #10 确实，是有些理想化。 我觉得公开寻找/讨论适合这种为大众提供服务的公司，比如 cloudflare ，腾讯云，tb 。首先，暴露在公众下面的服务肯定是要被挖的，既然漏洞已经被挖出来，不如摆出来赶紧结束掉，而不是让人们有其他的想法。就像高压锅一样，气体总是得出来的，只是取决于什么方式。 还有一种情况，现代的漏洞很少是单一攻击，更多的是组合漏洞。这种情况下，如果先前的爆出来并修复掉，就不会出现多个漏洞被同时利用，导致更大规模影响的情况发生。 对于一些很是封闭的场景才适用于这种禁止讨论，比如说内部使用的东西，或者正常人不会接触到的服务。这些服务接触的人也少，也很少泄漏出来。

@youngxxx #15 怎么我看的版本是绕过了审核

很简单，国内直播从明年开始强制延迟半小时，反正现在很多都是延迟的，无所谓了属于是

@billbur 绕过就更离谱了，审核机制应该是后端的一个必经流程，如果都能绕过，那只能说快手的技术缺陷也太低级了。。。

@TArysiyehua #18 “实际上你跟厂商好好沟通，大部分厂商都认并且发放奖金”，不一定会的，他们会想，他怎么发现的？为了发现/验证这个漏洞做了什么？在此期间接触到了什么？发现之后有没有做什么？如果我们认下了会怎么样？要不要给奖励？钱谁来出？要不要写进报告？奖金是不是得安全团队的绩效来扣？ 至于后面的 如果不认，白帽子会不会泄漏出去，那就得看情况了。就算泄漏出去了，他自己没有保留足够的证据证明自己是善意的，或者没有造成损失，那就送进去完事儿。 不是说这种情况一定会发生，但真很危险的，白帽子不会反咬入侵计算机是因为他们有厂商的许可，如果没有这个许可，是真的会进去的。我当时报那个漏洞都是和一个很熟的小伙伴商量后才决定报的，而且报之前我是直接和公司架构师打电话经过同意才说的。如果不是有信任的伙伴能讨论，能为我作证，我是肯定不会暴出去这个漏洞的，最好的选择是自己利用，万一哪天出事了用这个漏洞无痕删除记录，留着用来保护自己。 对于外面没有许可的非白帽子，一个不小心就进去了，尤其是高压环境下，肯定不希望给自己惹事的。

快手的问题，显然是整个内部系统被人攻破了，以至于管理员自己控制不了平台了，只能通过运维直接切断所有直播，个人认为，和如何审核关系不大，还是在于如何防范系统漏洞

我觉得黑客随时都可以黑 就老人家愿不愿意了

分享一篇网络安全相关从业人员的分析：[快手沦陷：流量巴别塔倒塌时]( https://weibo.com/ttarticle/x/m/show#/id=2309405247519927173354&_wb_client_=1)。里边有个观点是，由于大量观众短时间涌入包含色情内容的直播间，导致推荐算法认为这是“爆款内容”，将其推送给了更多人，而这些用户看到之后的选择是进去看直播，这导致了更大范围的推荐，推荐算法在这里将攻击效果放大了无数倍。

@duanxianze 如果是内部系统被攻破，那造成这样的结果能理解！但是怎么也算个大厂，内部系统能被攻击成这样，也太丢人了。。。

挖到洞的人，得不到相应的奖励，甚至会被反咬一口，或者经常被告知已经修复，自然就把会洞藏好咯。甚至不只是人、也可能是小团体，单位、公司、都会藏着，等着某次比赛大放异彩。