图片：Santiago Lopez

白帽子道德黑客的注意力常被巨额漏洞赏金和一夜暴富的新闻所吸引，但是全球首位漏洞悬赏金百万富翁却靠坚持不懈“打小怪”和“日拱一卒”走出了一条“平凡之路”。

近日，来自阿根廷的年仅19岁的圣地亚哥·洛佩兹（Santiago Lopez），成为首位官方报道获得漏洞奖金超过百万美元的漏洞猎手。

在接受媒体采访时，洛佩兹将自己的成功归功于出色的职业道德，并在奖励的规模和获得奖励的时间频次之间取得了平衡。

洛佩兹现在HackerOne的历史排行榜上排名第二，但让人吃惊的是，他迄今为止斩获的最高漏洞奖金只有9000美元（在一个私有程序中找到的SSRF服务器端请求伪造漏洞），与安全牛此前报道过的“2020年十大漏洞赏金项目”中，Paypal、Uber、英特尔、Twitter等公司所提供的动辄数万美元的漏洞赏金相形见绌。

洛佩兹生活在阿根廷的布宜诺斯艾利斯，刚满16岁就赢得了他的第一个漏洞赏金，接下来几年中一发不可收拾，获得了包括Twitter、Uber、Airbnb在内的大量公司的漏洞奖金，一举超越了平台上大量“大神级”漏洞猎人，成为漏洞奖金冠军。

洛佩兹的成功颠覆了很多业内人对漏洞猎人的职业前景预期，通常人们认为自由漏洞猎人就像自媒体作者一样，只有少数能够挖掘高级漏洞的天才选手和“头部大V”才能真正致富。根据HackOne 2019年发布的报告，漏洞悬赏项目发起公司支付给关键漏洞发现者的平均赏金已经飙升至3,384美元/个，但在这个超过50万白帽子黑客参与的漏洞赏金市场中，通常只有极少数顶尖级的漏洞猎手能够真正获利（真正获利的赏金猎人不到1%）。

但