綜合外媒報道，中國規定，所有零日漏洞必須只向中國政府披露。從2021年9月1日起，中國政府將要求任何發現零日漏洞的中國公民必須向中國政府主管網部門報告細節，不得向中國境外的任何第三方出售或提供相關信息(易受攻擊產品的制造商除外)。下面梳理《安全周刊》、美聯社、印度教徒報等媒體對新規的報道，以及相關安全專家也對此規定的評論。

　　媒體反應

　　《安全周刊》稱，中國漏洞披露規則將這一行動描述為“進一步加強了對信息的控制”。這不太可能是新規則出臺的主要動機，因為政府對數據的控制已經很糟糕了。企業可能不會在中國境外存儲中國客戶的數據。在中國銷售路由器和其他一些網絡設備的外國公司必須向監管機構披露加密功能的工作原理。

　　2017年頒布的《國家情報法》第7條已經要求中國公民支持、協助和配合國家情報工作。因此，這已經暗示了中國公民必須支持中國的網絡行動。新規定明確了這種支持，而且更有可能與中國以情報為主導的網絡行動有關，而不是為了加強對內部信息的控制。如果這是真的，那么值得探索的是，這條規則可能對世界其他地區產生什么影響。最明顯的假設是，中國發現的零日漏洞將流入中國的APT組織，而不會被美國國家安全局或俄羅斯國家行為體提供購買。

　　美聯社（AP）于2021年當地時間7月13日發布了一份報告，提供了簡要細節。除了聲明之外，沒有其他消息來源。“根據國家互聯網信息辦公室、公安部和工信部發布的規定，任何人不得‘收集、出售或發布有關網絡產品安全漏洞的信息’。”關于私人研究是否被禁止，或者私人研究的結果是否受到控制，這份報告并不清楚。后者是最有可能的。

　　印度教徒報報道稱，新規定將禁止私營部門專家發現“零日”（zero day），即之前未知的安全漏洞，并將信息出售給警方、間諜機構或公司。此類漏洞一直是重大黑客攻擊的一個特征，本月的一次黑客攻擊被歸咎于一個與俄羅斯有關聯的組織，該組織讓至少17個國家的數千家公司感染了病毒。

　　北京對控制有關人民和經濟的信息越來越敏感。企業被禁止在中國境外存儲有關中國客戶的數據。包括最近在美國上市的叫車服務公司滴滴全球（Didi Global Inc.）在內的一些公司已被公開警告要加強數據安全。

　　根據新規定，任何在中國發現漏洞的人都必須告知政府，政府將決定采取何種修復措施。除產品制造商外，任何信息都不能提供給“海外機構或個人”。

　　根據國家互聯網信息辦公室、公安部、工信部發布的規定，任何人不得“收集、出售、發布有關網絡產品安全漏洞的信息”。新規將于9月1日生效。

　　中國執政黨的軍事派別人民解放軍在網絡戰技術方面與美國和俄羅斯一樣處于領先地位。解放軍軍官被美國檢察官指控入侵美國公司竊取技術和商業機密。

　　發現“零日”弱點的顧問表示，他們的工作是合法的，因為他們為警察或情報機構服務。一些人被指控幫助被控侵犯人權的政府或監視活動人士的組織。

　　沒有跡象表明這類私營部門的研究人員在中國工作，但禁止該領域的決定表明，北京方面將其視為一個潛在威脅。

　　在過去20年里，中國穩步加強了對信息和計算機安全的控制。

　　被視為敏感的銀行和其他實體被要求盡可能只使用中國制造的安全產品。在中國銷售路由器和其他一些網絡產品的外國供應商被要求向監管機構披露加密功能的工作原理。

　　安全專家觀點

　　ThycoticCentrify首席安全科學家兼首席信息安全官Joseph Carson

　　“我預計中國政府將發現的任何安全漏洞武器化，以增強中國的網絡安全能力，”他告訴《安全周刊》。“這項新規定將收緊安全研究人員此前擁有的任何靈活性，迫使他們與中國政府分享安全研究，并限制進一步披露。”

　　BreachQuest聯合創始人兼首席技術官杰克？威廉姆斯（Jake Williams）

　　“政府幾乎肯定會將這些漏洞傳遞給政府背景的威脅參與者。這可能不會導致攻擊數量的增加，但很可能會增加復雜性。作為一個旁注，”他補充說，“中國政府機構能夠減輕被發現的漏洞的防御優勢，可能遠遠超過任何進攻性收獲。”

　　知名密碼學家、網絡安全專家布魯斯。施耐爾

　　對新規則給予了積極評價，稱中國正在控制零日攻擊，將確保所有新發現的零日漏洞都被披露給政府。根據新規定，任何在中國發現漏洞的人都必須告知政府，政府將決定采取何種修復措施。除產品制造商外，任何信息都不能提供給“海外機構或個人”。國家互聯網信息辦公室、公安部、工業部發布的規定規定，任何人不得“收集、出售、發布有關網絡產品安全漏洞的信息”。這只是阻止了網絡武器交易。這并不妨礙研究人員告知產品的公司，即使產品在中國境外。

　　對漏洞研究的影響

　　還會有其他不那么引人注目的涓滴效應。卡森指出，這對在中國進行業務發展的西方組織產生了不利影響，因為中國政府將在他們之前了解自己產品的潛在安全漏洞。雖然規定指出，漏洞可能會向外國產品制造商披露，但并不確定這種情況會發生。

　　如果中國研究人員確實不愿意向西方制造商披露他們的發現，這將影響發現的缺陷的數量（APT組織知道這些缺陷，但制造商仍然不知道）。這可能是一個很大的數字。在Adobe于本周（2021年7月13日）發布的補丁公告中，中國科學院大學（UCAS）的徐鵬和奇安信科技研究院的王艷浩等研究人員被Adobe公司稱贊為他們的工作。

　　中國的新規定也可能對漏洞賞金程序和Pwn2Own黑客競賽產生影響，這兩項比賽通常都有來自中國的選手。目前尚不清楚是否明確禁止參與漏洞獎勵計劃，因為這相當于“出售”研究成果，但它可能被豁免，因為這些發現最終在理論上被提供給了產品制造商——這是允許的。然而，當研究人員可以把零日賣給另一個提供比零日更多的人時，賞金程序已經被跳過了——這是明確禁止的。

　　同樣的基本論點也適用于Pwn2Own的競爭。雖然中國參與者數量的任何減少不會影響賞金計劃和黑客競賽的繼續，但可能會影響發現和披露的漏洞數量。

　　但這可能會反彈到中國。威廉姆斯說：“最可能出現的問題之一就是人才流失。如果中國研究人員可以從其他地方的工作中獲得豐厚的利潤，但在中國卻不能，他們為什么要留下來？這可能在短期內對中國有利，但長期而言對中國不利。”