以色列資安業(yè)者CTS Labs本周二 對(duì)外揭露了13個(gè)涉及AMD處理器的安全漏洞 ，距離通知AMD的時(shí)間不到24小時(shí)，引起外界嘩然，然而，CTS Labs技術(shù)長(zhǎng)Ilia Luk-Zilberman 很快就發(fā)表一封公開信 ，表示是想藉此呼吁大家重新審視現(xiàn)有的漏洞揭露程序。

CTS Labs本周的行為惹來許多批評(píng)，安全社交亦群起炮轟，有人抨擊CTS Labs無視“責(zé)任揭露”精神，還有人揣測(cè)CTS Labs的作法是想拖跨AMD的股價(jià)，然而，Luk-Zilberman的解釋讓許多人改變了態(tài)度。

Luk-Zilberman表示，該公司自一年前就開始研究由祥碩科技代工的晶片，發(fā)現(xiàn)它們含有可控制晶片的后門，接著購(gòu)買AMD的Ryezn電腦并執(zhí)行攻擊程式，顯示該后門依然存在，可在AMD晶片組上讀、寫與執(zhí)行程式，這使得他們開始研究AMD處理器，并發(fā)現(xiàn)一個(gè)又一個(gè)的安全漏洞，于是決定將它們公諸于世。

對(duì)Luk-Zilberman而言，現(xiàn)有的“責(zé)任揭露”存在著嚴(yán)重的問題，假使研究人員發(fā)現(xiàn)一個(gè)漏洞，該政策建議研究人員應(yīng)在30天、45天或90天等有限的期間內(nèi)與供應(yīng)商共同打造緩解機(jī)制，之后研究人員再揭發(fā)漏洞。

問題之一是在于漏洞修補(bǔ)期間，是由供應(yīng)商決定是否要通知用戶，迄今絕大多數(shù)的供應(yīng)商都在修補(bǔ)完畢后才告知客戶相關(guān)漏洞及可能的風(fēng)險(xiǎn)，甚少是在發(fā)現(xiàn)漏洞之際就進(jìn)行通知。第二個(gè)問題是倘若供應(yīng)商未能及時(shí)修補(bǔ)漏洞，而研究人員公布了漏洞細(xì)節(jié)與攻擊程式，則將危害使用者安全，等于是將供應(yīng)商的過失轉(zhuǎn)嫁到用戶身上。

于是Luk-Zilberman認(rèn)為更好的方式是在同一天通知供應(yīng)商與大眾，警告漏洞可能帶來的影響，但直到漏洞被修補(bǔ)之后再公布技術(shù)細(xì)節(jié)，讓供應(yīng)商承受來自使用者的壓力，也能避免使用者承擔(dān)安全風(fēng)險(xiǎn)。

事實(shí)上，CTS Labs所公開的漏洞白皮書中并未涉及技術(shù)細(xì)節(jié)，但提交給AMD的報(bào)告中卻有詳細(xì)的資訊，此外，已有不少安全專家驗(yàn)證CTS Labs所提出的是有效的漏洞，盡管相關(guān)漏洞需要管理權(quán)限才能開采，可一旦遭到開采，就能夠被植入可長(zhǎng)久存在的惡意程式。