Steam平台的热门游戏非常多，这么多年下来赚的钱自然就更多了，但即便是这样一个大的游戏平台速度快稳定的付费vpn，也逃避不了各种漏洞，一些黑客就是喜欢找到这些平台的漏洞，

　　比如在今年 8 月前，Steam 上其实一直有免费获得游戏的 BUG。该 BUG 还是被一个自称「BUG 猎人」的黑客发现的，他还因为这个挣了 2 万美金。

　　Valve 和黑客的战斗由来已久，可能是发现堵不如疏，今年五月，他们开始公开「招安」黑客：在一个叫 HackerOne 的平台上运行他们的漏洞赏金计划。

　　在 HackerOne 上，没有门槛或者需要你有什么资格证明，只要你能有实力提供系统漏洞，那你就有钱赚。Valve 在赏金计划里，把漏洞分为四个档次：严重、高、中、低，每种档次的赏金也有各自的标准，比如低档的漏洞最高能给 200，而档次为严重的漏洞最低赏金 1500，最高没有上限。

　　自从这个赏金计划开始，手提各式系统漏洞前来领赏的黑客就没断过。累计至今 Valve 已经撒出去 46 万美金了，其中主力还是给不断涌现的小漏洞付的较低额赏金，而高赏金的倒也偶尔能见到。

　　而免费拿游戏的这个漏洞，就是高赏金中的一个。「BUG 猎人」莫斯科夫斯基在今年八月就发现了一个严重的漏洞，获得了 Valve 的高额 2 万美元奖金。这个漏洞在这个月刚刚公开，利用了一个 Steam 开发者工具的问题：开发商或者发行商可以调用 Steam API 来获得激活码 —— 当然是自己的游戏，但是如果将需要的激活码数量调为 0，那就能绕开限制获得其他公司的激活码，甚至没有数量限制。

　　而这意味着在今年 8 月前，其实谁都可以偷偷摸摸在 Steam 上窃取任何游戏的激活码，甚至不限量。而发现这个漏洞的莫斯科夫斯基如果保持低调，神不知鬼不觉的偷拿几个游戏，那被发现的概率也很低。几乎等于终身免费玩 Steam 上游戏的权利了。

　　不过莫斯科夫斯基倒是没有遮遮掩掩，据他所说他利用这个漏洞一次性获取了 36000 个《传送门 2》的激活码，然后把这个漏洞提交给 Valve了。

　　这么一个严重性高的漏洞这么多年竟然没被发现过，如果被心怀不轨的人利用不知道能引起多大的负面影响。不过万幸的是，根据 Valve 调查表示，目前没有发现该漏洞实际被滥用的证据。

　　虽然据莫斯科夫斯基所说，这是在探索 Web 应用程序的功能时随机发现的，但整件事也不是绝对的偶然。他作为 BUG 猎人，自上学开始就在进行网络安全方面的研究。过去的几年里，一直专注于这种悬赏。

　　而且 2 万美金还不是他从 Valve 上拿到的最高一笔，在此前他还因为发现了一个 SQL 注入漏洞获得两万五美金的奖励，这也是 Valve 给出的过的最高一笔奖金。

　　不过这么对比一看，显得这回「能随意获得免费游戏漏洞」的 2 万奖励似乎有点少了，莫斯科斯基在网上也抱怨过：

　　那么问题来了，如果换做是你，在无限免费玩游戏和变现的诱惑下，你会选择向 Valve 提交，堵上了这个有利可图的潜在漏洞吗?