白帽与黑客相对，简单来说白帽就是未受聘用的网络安全管理员，有点类似于侠盗罗宾汉。而所谓的白帽机制，即利用白帽黑客来挖掘程序系统中漏洞的一种形式。

Facebook、微软，Google目前都有自己与VR相关的白帽机制，主要手法就是将程序的查错权力放开，借助在野的VR专家来协助修补漏洞。包括MR相关的操作系统Windows Holographic和移动VR平台Daydream，它们都被划定在漏洞奖励范围之内，而Facebook Bug Bounty计划也将影响到Rift程序的安全等级。

但在去年12月，白帽黑客袁炜通过乌云网将网站漏洞提交给世纪佳缘之后，却因为这项行为而遭到逮捕，其主要原因可能是涉及到了SQLmap的使用。SQLmap除了检测漏洞的功能之外还能对漏洞进行利用，这也表现出某些企业对于白帽黑客触及隐私的深深忧虑。

白帽机制虽然在一方面整合了资源，提高了自身程序漏洞的填补能力，加强了安全等级，但另一方面又缺乏系统的白帽群体约束规则，他们在修补漏洞的同时也可能因由各种原因对系统造成威胁破坏，是一把双刃剑。

不过，从科技巨头的作为看来，白帽机制虽然有一定的隐私隐患，但只需稍加引导就能作为虚拟现实程序安保中的重要一环。

·白帽黑客对VR系统的安全有很大的积极意义

微软和谷歌的白帽机制早在2005年就得以建立，他们先后设立了SRC应急响应机制，鼓励全球的白帽黑客能够协助自己一同建立安全防线。国内企业起步较晚，直到2012年腾讯才开启了漏洞收集平台TSRC(腾讯安全反馈中心)，但我们仍然可以看到白帽机制已经初见成效。

Facebook的Bug Bounty计划截止到2015年已经发现了2400个漏洞，仅2015一年内就有210位白帽反馈的526单漏洞获得审核。除此之外，微软在今年上半年总共收到了124个程序漏洞信息，Adobe、苹果和谷歌则认证了485个漏洞反馈。

这些漏洞的发现者包括世界各地的网络安全提供商，也存在一些在野的白帽黑客。Facebook的一份报告表示，XSS和CSRF形式的跨站攻击已经开始减少，他们的漏洞主要集中在系统的逻辑上而非技术上，这也是自身的安全团队很难发现的问题。此外，得益于白帽机制的推行，大部分漏洞在测试阶段就能获得填补。

而白帽提交的漏洞报告也越来越趋向于成熟，非关键性漏洞的举报频次逐年降低，在报告中通常还会附带一些可能发生的攻击手段，这也是大环境技术上升的一种表现。

无论如何，白帽机制是一种集思广益的作法，独立的安全团队很难发现程序中的盲点，这个盲点在VR系统中更为致命。主流VR设备往往需要针对性的开发一套新系统，这些技术的发展在目前来看远未成熟，漏洞存在的可能性更高。从Oculus Rift系统的拆包信息来看，Oculus正在努力研发一个内置的保护程序，而这个程序还在跟随版本不断迭代。

再者，一旦VR系统涉及到用户个人信息的记录，将不仅限于简单的账户密码。还会牵扯到人们使用VR头显的动作习惯，联网中具体的地理位置，无屏VR则与智能手机中的信息强相关。

白帽机制在一定程度上加大了漏洞发现的可能，尽早的填补则是保障网络安全的重中之重。而厂商也可以通过这个手段来均摊成本，一方面悬赏漏洞的成本比挽回事故的成本要低得多，另一方面也能降低安全团队的组成成本。

·白帽机制又存在一定的安全隐患

从白帽黑客袁炜被捕的事件可以看出，白帽机制也存在一定的安全隐患。SQLmap的使用对系统来说具有两面性，而白帽在获得漏洞资料之后也有可能进行二次泄露，从而对程序和网络安全造成损害。

国内的法律规定，对于不涉及商业、科研和国家安全的计算机信息系统，如果只是侵入，没有进行破坏和篡改或者牟利等行为的，不构成犯罪。但这个法规的判定不太严谨，白帽黑客随时可以采取取巧的手法绕过监管，而对于程序安全的保障几乎全靠个人在道德上的自律。

这又引申出另一个问题，从严格意义上来说白帽的划分标准是相当模糊的。最近这几年出现的激进骇客(Hacktivist)则介乎白帽与黑客之间，以“匿名者(Anonymous)”这个组织为例，他们有着自己的一套正义法则。

在2002年前后，Anti-Sec社区中就有一类人，他们在白天上班的时间内专注于网络和系统安全的相关事宜，回到家后又开始从事黑客的工作。2011年10月，匿名者(Anonymous)攻击了40个与儿童色情相关的网站，并将1500位访客的个人信息公之于众，这种行为也许在某种程度上是合乎道义的，但他们也确实触犯了法律。

相比之下，VR领域中也存在类似的“灰色地带”，VR情色一直被人们所津津乐道，这其中也包含了一些不能搬上台面的合法内容。白帽在某种条件的促使下将会拿不准行事的标准，从而对合法内容展开相应的攻击，进而侵犯他人的隐私。

·白帽机制可以引入安全体系，但需要相关规则的约束

仅仅依靠白帽自身的道德约束是不够的，要完善整个体系需要有相关规则的制定。常规的方法就是增加奖励机制，让“做好事”的受益程度大于“做坏事”的受益程度。

谷歌在不久之前的一份声明中阐述，他们在6年间总共对漏洞的发现者回馈了约600万美元的赏金，仅2015年内就给300多位白帽颁发了200万美元的奖金。在将漏洞的审查范围扩展到Android和iOS平台之后，VR平台则是Google的下一个目标，去年最高的奖金数额为37500美元，而这个数字还在不断的上升。

微软和Facebook在白帽的酬劳设置上也显得十分慷慨，微软在去年将奖金的数额翻了一倍，表示一个漏洞的反馈最多能获得10万美元的奖励，而Facebook从2011年至今也已发放了430万美元的查错奖励了。

除了加大奖励金额外，企业在不同领域也应该设置相应的白名单。如若是针对虚拟现实领域，就面向VR方面相关的白帽开放部分程序的入口，这样一方面能加大查错的范围，另一方面又能确保点对点的正确性。

白名单的设置也应该引入一些信用标准，只对通过验证的白帽发放。例如规定白帽曾经提交过数个相关的规范漏洞报告，或是在业界积累了一定的口碑。Facebook的政策也许能够作为一个参考，他们直接向白帽发放Visa借记卡，只要他们汇报的漏洞得以确认，奖励就会直接发放到借记卡中。

Facebook安全响应团队经理Ryan McGeehan表示，有了这种独立的黑客卡，白帽黑客的变现速度更快且更隐蔽。而这种借记卡的存在，也相当于一种变相的白名单体系，目前已经有81个安全人员得到了Facebook的Visa借记卡。

白帽黑客作为骇客范畴内最具约束力和自制力的团体，在技术和道德上都起到了先驱模范作用，并非是应该泯灭的对象。白帽的初衷都是为了分享知识和交流解决问题，而整个互联网科技领域不应该由于个人的变味从而否定整个社群。在一定规则的引导下，白帽机制能为VR领域甚至整个科技领域带来可观的收益。

====================================分割线================================

本文转自d1net（转载）