AMD白嫖研究员！耗时124天修复RCE高危漏洞：6.7万元赏金一分不给

6月13日消息，安全研究员Paul LaRosa（化名“MrBruh”）近日公开了与AMD长达124天的漏洞交涉过程。

AMD随后要求他撤下相关博文，承诺发布CVE、修复软件并公开致谢，但明确表示“不给钱”。

漏洞核心在于AMD自动更新器通过不安全的HTTP协议下载驱动程序，且缺乏数字签名验证。

攻击者在同一网络内可拦截流量，将合法驱动替换为恶意程序，利用更新器的高权限实现远程代码执行，

最初Paul提议按照行业标准90天披露窗口期进行修复，但AMD以“多个工具受影响”为由多次要求延期。

Paul事后验证，修复后的版本确实使用HTTPS加密下载，但文件完整性验证仍然仅依赖已过时的CRC32哈希校验，而非现代加密签名。

有Reddit用户指出该漏洞代码路径在实践中可能从未被实际调用，因为相关更新代码自身处于“无法更新自己”的损坏状态。

换句话说，用户即便不采取任何措施，也从未暴露于该风险下。如果真如此，AMD长达四个月的紧张修复更像是一场技术闹剧。

AMD漏洞公告虽已确认问题并向Paul公开致谢，但Paul未收到任何经济补偿。