謝至恩HackerOne 、 Bugcrowd 等漏洞懸賞平台,讓企業能在產品上市或系統上線後,透過外部白帽駭客回報漏洞,將原本可能被攻擊者利用的弱點,轉化為可追蹤、可修補的資安改善流程。這類模式的核心不只是「找漏洞」,而是建立一套讓研究員、企業與第三方審核機制能夠協作的制度,協助企業在風險真正擴大前完成修補。
台灣也開始將類似概念導入國產資通訊產品。由數位發展部資通安全署指導、國家資通安全研究院辦理的首屆「產品資安漏洞獵捕活動」已經完成,資安院於 4 月 27 日公布成果,本次活動集結 11 家國內指標性資通訊廠商、 179 位本土資安研究員,針對網通設備、網路儲存設備 (NAS) 及工業網通等 20 組產品進行測試,最終確認 20 項有效漏洞,其中包含 3 項嚴重等級與 6 項高風險漏洞。
本次活動採取紅隊研究員挖掘、廠商修補、資安院進行第三方確認的方式執行,目的在於讓廠商能於產品上市前,先以外部攻擊者視角檢視潛在風險。從成果來看,這 20 項漏洞分布於 8 組設備,其中工業網通設備占 6 組、網通設備占 2 組,顯示工業網通產品仍有持續強化空間。
本文目錄
弱密碼、命令注入仍是產品常見風險
資安院檢測中心總監劉建良表示本次發現的漏洞包含部分元件使用弱密碼,可能導致任意檔案遭讀取,也有因未妥善檢查參數輸入格式,而產生命令注入 (Command Injection) 風險的情況。從漏洞類型來看,部分問題屬於產品安全設計與開發流程中應持續補強的基本項目;若攻擊者先利用其中一項弱點取得初步存取權限,也可能進一步串連其他弱點形成連鎖攻擊。
劉建良說明,本次 20 項漏洞目前皆已完成修補,使用者可不必擔心相關漏洞仍處於未處理狀態。資安院鼓勵廠商配合申請 CVE 編號,目前已有廠商配合取得 6 個 CVE 編號,後續仍有部分申請持續進行中。
不過,漏洞細節是否公開仍須尊重參與廠商的商業考量與揭露流程。劉建良表示,資安院後續會評估以去識別化方式整理關鍵觀察,提供產業參考,讓更多廠商了解常見產品安全疏漏,作為改善依據。
獎金發出 53.9 萬元,紅藍隊都肯定活動機制
首屆活動原規劃最高獎金池為 720 萬元,實際發出 53.9 萬元。劉建良表示獎金核發須由紅隊研究員提交漏洞通報書,再經資安院與廠商確認漏洞可重現、可利用後,依嚴重程度核發對應獎金,嚴重漏洞最高可獲 10 萬元。
雖然實際發放金額低於獎金池上限,但資安院院長林盈達也指出這代表參與活動的台灣資通訊硬體廠商具備一定產品測試與修補能力,並未在 179 位本土資安研究員測試下「被打爆」。林盈達表示,台灣資安研究社群能力受到國際肯定,參與廠商能承受這波檢驗,反映國內資通訊產品已有相當基礎,但仍應持續接受更高強度測試。
從參與意願來看,藍隊廠商皆表達高度意願持續參與後續活動;紅隊研究員也普遍肯定本次運作機制,但建議未來若能更明確揭露測試標的資訊與評估標準,將有助提升漏洞挖掘效率。
研華科技協理鄭維仁表示,隨著 AIoT 與工業自動化發展,廠商過去以防堵、預防為主的資安策略,也必須轉向韌性思維,也就是假設攻擊持續存在,並強調產品可用性、災難復原與持續改善。威強電工業電腦代表則指出,過去該公司已透過 Bug Bounty 等機制接收全球研究團隊回報,但這次活動提供更高規格、高單價設備於安全場域中接受驗證,也讓廠商有機會與更多台灣資安研究團隊建立連結。
從活動走向機制,第二屆鎖定軟體供應鏈
資安院表示,第一屆活動優先選擇網通設備、 NAS 與工業網通等產品,主要是考量台灣相關產品出口海外,在面對歐盟《網路韌性法》(Cyber Resilience Act, CRA) 等國際規範時,產品安全與供應鏈信任已成為出口競爭力的一部分。透過漏洞獵捕活動與上市前既有資安檢測程序互補,可降低產品上市後才處理未揭露漏洞的風險。
第二屆漏洞獵捕活動預計於今年第三季開始報名,並於 9 月至 10 月辦理,主軸將從硬體走向軟體,鎖定「軟體供應鏈安全驗證」,優先針對政府機關常用、使用率高或涉及高風險情境的軟體項目進行驗證。活動也規劃從單一產品測試,擴展至更完整的政府採購與使用情境,並預計募資 800 萬元獎金池,以吸引更多紅隊研究員投入。
林盈達也提到,第二屆活動將面臨 AI Red Teaming 帶來的新挑戰。相較第一屆主要以人工方式進行測試,未來紅隊若導入 AI 工具,漏洞挖掘速度與火力可能大幅提升;同時,國內軟體業相較資通訊硬體廠商較少經歷國際市場檢驗,更需要透過高強度測試累積產品安全能力。
至於是否進一步發展成「台版 HackerOne」或常態化漏洞懸賞平台,劉建良表示,未來確實希望從一次性活動逐步走向長期機制,並研究是否透過自動化處理或平台模式推動。林盈達則補充,相關機制仍需更多資源投入,也可能涉及政府採購、產品上架或產業管理制度等多方討論。
林盈達強調,目前活動目標仍以國內企業與本土資安研究員為主,現階段不考慮開放國外團隊報名,而是優先扶植國內紅隊人才,讓台灣資安研究員有更多實戰舞台,也協助國內廠商建立更成熟的產品安全驗證與漏洞應變能力。
從 HackerOne 代表的國際漏洞懸賞模式來看,漏洞獵捕的價值不只在於單次找到多少漏洞,而是能否建立持續循環的揭露、修補與驗證流程。對台灣資通訊與軟體供應鏈而言,這次首屆活動可視為制度化的起點;接下來 PSIRT 能否與政府採購及供應鏈安全要求接軌,將決定它能否從一場活動,真正成為推動 MIT 產品信任度的長期機制。