11月8日消息，据国外媒体报道，美国国家安全局（NSA）上周曾表示，超过90%时间里，一旦该机构发现计算机软件漏洞，就会告诉美国的科技公司。但这种陈述具有误导性，因为据部分现任和前任美国政府官员透露，NSA通常会先利用这些漏洞先发起一波网络攻击。之后NSA才会将漏洞告诉科技企业让他们解决问题以及向客户提供程序升级。

美国关于“零日漏洞”的政策目前具有较大争议，对于黑客和间谍人员而言，这些严重的软件漏洞都是非常有价值的，因为在漏洞尚未披露之前是没有任何防御措施的。

最著名的“零日漏洞”案例是Stuxnet蠕虫病毒，该病毒是由NSA及其以色列同行共同开发，用以入侵伊朗核项目及破坏进行铀浓缩活动的离心机。

在2010年该病毒被发现之前，Stuxnet利用微软和西门子公司软件中此前未知的漏洞，在不触发安全程序的情况下神不知鬼不觉地入侵到设施中。

目前已经形成了一个活跃的地下市场，专门进行“零日漏洞”的买卖，根据2013年路透社的报道，NSA就是全球最大的漏洞买家。该机构还通过自己的网络项目发现漏洞，并利用部分漏洞来入侵到海外的计算机和电信系统，籍此完成自己主要的间谍任务。

考虑到发现漏洞的难度以及目标软件的普及程度，部分“零日漏洞”的价值相对较高。部分漏洞的售价最低仅为5万美元，而一位知名的“零日漏洞”中介本周透露，他已经同意向一个团队支付100万美元，以获得他们所设计的一种入侵已全面升级的iPhone的途径。Zerodium公司的Chaouki Bekrar称，这种iPhone技术“可能只会出售给美国客户”，包括政府机构以及“非常大型的企业”。

政府官员称，将“零日漏洞”用于攻击还是披露给科技公司及客户用作防范目的，这两者间存在“天生的”冲突。

在斯诺登事件以及路透社发表有关NSA付费让安全公司RSA在软件中加入后门后，一个白宫的审查小组建议政府的政策应该更倾向于防御。

NSA则在其网站上表示，理解这种将大部分漏洞用以防御的需要。“在大部分情况，负责任地披露最新发现的漏洞显然是符合国家利益的。”

“但是对于披露漏洞的决定，也存在合理的利与弊，立即披露与在一定时间内隐瞒所知情况这两者之间的权衡，可能导致非常严重的后果。”

“披露漏洞可能意味着，我们放弃了一个收集重要的外国情报的机会，这些情况可能帮助阻止恐怖袭击、国家情报外泄或泄露更多危险的漏洞。”

（楚慎）