AMD白嫖研究员！耗时124天修复RCE高危漏洞：6.7万元赏金一分不给

安全研究员Paul LaRosa（化名“MrBruh”）近日公开了与AMD长达124天的漏洞交涉过程。

他于今年2月发现AMD自动更新器存在远程代码执行漏洞，但AMD以“中间人攻击不在赏金范围内”为由，拒绝支付1万美元（约合人民币6.7万元）的漏洞赏金。

AMD随后要求他撤下相关博文，承诺发布CVE、修复软件并公开致谢，但明确表示“不给钱”。

漏洞核心在于AMD自动更新器通过不安全的HTTP协议下载驱动程序，且缺乏数字签名验证。

攻击者在同一网络内可拦截流量，将合法驱动替换为恶意程序，利用更新器的高权限实现远程代码执行，该漏洞被分配CVE-2026-40677，CVSS评分高达7.7。

最初Paul提议按照行业标准90天披露窗口期进行修复，但AMD以“多个工具受影响”为由多次要求延期。

AMD最终于6月9日完成修补，距离首次报告已过去124天。需要指出的是，修复方案几乎只是将下载链接中的“http”替换为“https”。

Paul事后验证，修复后的版本确实使用HTTPS加密下载，但文件完整性验证仍然仅依赖已过时的CRC32哈希校验，而非现代加密签名。

有Reddit用户指出该漏洞代码路径在实践中可能从未被实际调用，因为相关更新代码自身处于“无法更新自己”的损坏状态。

换句话说，用户即便不采取任何措施，也从未暴露于该风险下。如果真如此，AMD长达四个月的紧张修复更像是一场技术闹剧。

AMD在漏洞处理期间还悄然修改了漏洞赏金条款，新增“未经AMD书面同意不得披露漏洞信息”的规定。

AMD漏洞公告虽已确认问题并向Paul公开致谢，但Paul未收到任何经济补偿。