22 岁的新西兰程序员 Paul 坐在电脑前，写下一份详细的技术博客。他刚刚发现 AMD 官方自动更新工具 AutoUpdate 里藏着一个远程代码执行漏洞，攻击者只需替换网络响应，就能把恶意程序塞进用户电脑。他把报告提交给 AMD 的漏洞赏金计划，按规则这类高危漏洞理应获得 1 万美元奖励。然而 AMD 的回复是：漏洞属实，但赏金不付，还请把文章删掉。

AMD 的产品安全漏洞赏金计划最高报酬可达 3 万美元。Paul 发现的这个 RCE 漏洞会让攻击者在同一网络下发动中间人攻击，受影响用户可能高达数百万。他在博客中拆解了技术细节——恶意方可以 " 用他们选择的任何恶意可执行文件替换网络响应 "。但 AMD 在赏金计划条款里明确写了：MITM 攻击不在收录范围。公司承认了 Paul 的发现，也基于报告做出了修补，却在漏洞被公开后关掉了他的报告单，还要求他无限期撤下原博文。

一方观点认为，白纸黑字的规则就是规则。赏金计划框定了威胁模型，如果条款已排除中间人攻击，那么无论漏洞多严重，都不触发支付义务。企业的安全响应流程需要边界，否则每个超出范围的问题都来讨赏金，会打破项目可持续性。而且 AMD 最终在 6 月 12 日发布 CVE 报告完成了修复，扛起了修补责任。

另一方则感到寒心。Paul 指出的漏洞让 AMD 用户暴露在中间人监听和代码注入风险下达 124 天之久，直到补丁落地。一个 22 岁独立研究员用行动证明了产品存在大规模威胁，公司却在长达四个月后才堵住缺口。消费者更关心的是：当厂商用条款把高危场景划出赏金池，这种 " 按规则行事 " 是否正在消解社区对漏洞报告的信任？修复既然做了，说明问题真实且严重；不给赏金还要求删文，打击的可能是下一个愿意花时间挖洞的研究者。

拆开来看，这件事暴露了两个矛盾的真相。AMD 近期的确在争取用户好感，比如宣布为老显卡免费提供重大升级，让人们看到它在意存量用户。但 Paul 的遭遇让安全社区打了个问号：在意消费者，是否包含在意那些帮消费者提前避坑的白帽黑客？AutoUpdate 漏洞的修复最终惠及所有用户，可参与者却被冷处理，这个信号比那 1 万美元更让人玩味。

对普通消费者而言，实际风险已经大幅收窄。Paul 重新发布的博客给出了明确建议：卸载所有 AMD 旧版软件，从官网下载最新版本覆盖安装，同时运行可靠的安全应用。打过补丁后，中间人攻击的入口已被关闭，但这次事件留下的规则争议远未平复。当一个高危漏洞被定义为 " 范围外 "，到底是项目规则需要重新审视，还是研究者该为挖到对的洞却找错门而买单？这个问题，可能比一个已修复的漏洞更难打补丁。