ZDI还是挺狠的，他们去年向微软报了一个漏洞，半年后没修复，他们就直接发公告了，当然没提细节。不过，他们自家TippingPoint里加了相应规则，有可能从中找到线索，扒出漏洞。早年国内还没MAPP的时候，我每个月都从洋人的签名库扒漏洞。ISS那种编译成库的签名，我也写了一个自动扒洞程序，用起来很爽。

你竟然还转出来，这是想让果粉围攻我啊——算了，我也转出来吧…… //@se_is_noop: 回复@tombkeeper:顶iOS是杜月笙软件 //@tombkeeper:如果Windows是流氓软件，那iOS就是杜月笙软件啊 //@se_is_noop:这是屁股决定脑袋的典型案例之一，其实GPL协议细看一下也是有流氓性质的协议……

“安全”，围绕这个词可以扩展出很多方向，远不止眼下看到的这些。类似的，围绕“对抗”这个词也可以扩展出很多方向，虽然比不上前面那个，但也足够大了。

看了VUPEN在Pwn2Own 2014上用的Firefox漏洞（🔗网页链接），深感其实力之强。虽然类似思路我自己想到过，另外至少听两个人分别谈起过，但我们都不可能像VUPEN一样把全部精力投入在这一件事上。在眼下的环境里，我们可能永远没有机会参与VUPEN或FireEye这样的团队，把技术做到极致。

eBay用户数据被窃这事如果是真的，可能是今年商业信息安全领域最大的事，也会进一步促进相应的投资。