针对广大吃瓜群众所关心本人与sxf之间的纠纷，避免被某些有心人利用误导广大吃瓜群众的判断。

下面，我本人做一下大致完整叙述，有些细节会保留，因为sxf还准备采取下一步措施，我要留点底牌，当场对证。

众测挖掘->确认收录与奖金->提交->正常功能->仲裁->当作正常功能放出->被报案说是泄露漏洞

5月份报名参加了sxf的鹏程众测活动，其有一个很大的功能点，就是沙箱，在对服务端的接口基本过了一遍之后，留下来最后看这个功能是否有缺陷。

5.13日， 在当时出来的众测环境发现所谓“正常功能”， 并于当天与sxf的src部门负责人进行了询问, 告诉对方目前可以利用登陆后某功能缺陷导致沙箱逃逸。

负责人给我提供了一个奖金价格是在两万，当时候我还特地问了负责人有没有额外奖励，他明确告诉我，没有额外奖励，我也认可了赏金价格，于是打算提交这个问题。

负责人让我把所有的东西提交了, 提交后说审核需要3-5天, 我等时限到了之后向其询问, 得到的答复就是，这是一个正常功能设计,并不是漏洞。

论谁都会不服，此时要求对方给予我一个合理的解释, 但从头到尾都在和稀泥, 没有给出令人信服的解释。

整个过程， 从头到尾就没讨论过价格的问题，我也没有对事先说好的价格产生过异议。

所以何来的价格谈不拢我就公开在境外平台这一说法？根本就不是价格导致的争执。

因为我这个人不喜欢语音视频，我与深信服的沟通对接百分之95以上都是以文字聊天的形式 所以有着完整的聊天记录。

5.25日，深信服安全应急响应中心后台对我提交的漏洞进行了判定, 认定我提交的漏洞是一个正常的功能设计， 有完整的截图证据。

6.7日，深信服的工作人员就已经不回复我了，对我进行冷处理。

6.10日，发布正常功能介绍。

6.15日，警方联系到我。

既然sxf已经裁定是正常功能设计，我公开一个正常功能, 违反了**哪条法律，而且最可耻的是他报警的理由是说我把漏洞公开在境外平台，这个时候又承认是漏洞了嘛？

之前长达半个月的论证到底是正常功能设计还是漏洞，贵公司是言之凿凿说的是功能设计不是漏洞呢，这不是明摆着欺负人嘛？

好比我对大家说，打火机可以打火，打火是打火机的功能，卖打火机的不应该高兴嘛？我帮他们介绍了产品功能，为何却如此激动想要弄服我？

至于深信服的员工说我多次以公开威胁他们，对他们客户造成了不好影响。

针对这个事情，从我和sxf第一次合作开始，当时，我先提交深信服安全应急响应中心说明存在漏洞的情况，但是他们自己直接忽略了，并且我进行了二次提交，

三次提交后，我才发布告警信息在github这个他们口中所谓的境外平台，这都是有证据的。

我的诚意之足，莫过如此，提交三次忽略三次，那我没办法呀。

Github上，没有涉及任何漏洞任何细节(当时有写POC,EXP章节，但里面的明文内容是"等待CNVD分配编号"), 只有漏洞危害，产品信息和演示视频 （我不会傻到公开了任一细节，还敢拿赏金的事情，这也是白帽子的基本素养）。

我的想法是厂商不收只能先在Github占个位，然后提交CNVD，等分配下来后，再放出细节等信息。

Github发布的都是按照事实情况说明产品存在某个类型漏洞，这和CNVD和CVE发布漏洞告警的内容是一致的，没有越界的地方。

可见，谁才是真正对产品的安全关心负责。

然后高潮来了，sxf反应过来了 。

第一时间联系我删除，并且一直跟我道歉说是下面的人做事不细心然后一直再跟我道歉。

现在这会又把我塑造成一个因为价格不满意就公开威胁，恶意敲诈勒索厂商的小人，是觉得没有相应的聊天记录作为证据嘛？

我一个白帽子凭什么要为你们的工作失误买单？

且最终漏洞的价格也是按照你们SRC的公告标准收录的？何来恶意要价之说？

再说回此次事件，是我一开始告诉负责人漏洞的相关详情包括利用条件 他给了奖金范围 我也认可 但是后面是 他们认定是正常功能 而我认定是漏洞 价格从来就没产生过争议

然后既然你们裁定是功能设计 那为什么又要以漏洞上传境外平台的理由报警呢？

最后 我觉得作为一个安全厂商平台 遇到问题应该是第一时间解决问题 而不是解决发现问题的人 ， 不应是与其提升自己，不如诋毁别人的态度。

你们从6.7日之后就没在与我联系对接，中间长达一个多月的论证，都是单纯的在讨论到底是漏洞还是正常功能设计，但是你们现在对外是只字不提啊 。

从上述可以看出，发现问题我都是按照流程去走，至于价格沟通，谁不希望越多越好呢？但是也是按照你们公告的标准而来。而且最终也帮你们发现解决了安全问题，避免产品对客户造成的安全影响，现在反而说我影响你们的客户，张冠李戴。