快科技 6 月 13 日消息，安全研究员 Paul LaRosa（化名 "MrBruh"）近日公开了与 AMD 长达 124 天的漏洞交涉过程。

他于今年 2 月发现 AMD 自动更新器存在远程代码执行漏洞，但 AMD 以 " 中间人攻击不在赏金范围内 " 为由，拒绝支付 1 万美元（约合人民币 6.7 万元）的漏洞赏金。

AMD 随后要求他撤下相关博文，承诺发布 CVE、修复软件并公开致谢，但明确表示 " 不给钱 "。

漏洞核心在于 AMD 自动更新器通过不安全的 HTTP 协议下载驱动程序，且缺乏数字签名验证。

攻击者在同一网络内可拦截流量，将合法驱动替换为恶意程序，利用更新器的高权限实现远程代码执行，该漏洞被分配 CVE-2026-40677，CVSS 评分高达 7.7。

最初 Paul 提议按照行业标准 90 天披露窗口期进行修复，但 AMD 以 " 多个工具受影响 " 为由多次要求延期。

AMD 最终于 6 月 9 日完成修补，距离首次报告已过去 124 天。需要指出的是，修复方案几乎只是将下载链接中的 "http" 替换为 "https"。

Paul 事后验证，修复后的版本确实使用 HTTPS 加密下载，但文件完整性验证仍然仅依赖已过时的 CRC32 哈希校验，而非现代加密签名。

有 Reddit 用户指出该漏洞代码路径在实践中可能从未被实际调用，因为相关更新代码自身处于 " 无法更新自己 " 的损坏状态。

换句话说，用户即便不采取任何措施，也从未暴露于该风险下。如果真如此，AMD 长达四个月的紧张修复更像是一场技术闹剧。

AMD 在漏洞处理期间还悄然修改了漏洞赏金条款，新增 " 未经 AMD 书面同意不得披露漏洞信息 " 的规定。

AMD 漏洞公告虽已确认问题并向 Paul 公开致谢，但 Paul 未收到任何经济补偿。