据我了解，这不再符合负责任的“白帽”行为。我的说法正确吗？

白色（和灰色/黑色）帽子是模糊的术语。没有固定的通用定义。根据维基百科的定义，大多数研究人员会被视为灰帽，如果软件发布者拒绝修补，发布的情况并不少见。

您的问题的简单答案是否定的。如果你的目标是让世界更安全，那么这显然不是直接一致的。有一个间接的论点——通过鼓励经济奖励，它可以鼓励企业和研究人员之间建立更健康的关系，并鼓励更多的人进入该领域。

你为什么还要问？研究人员没有义务向您披露。除非你能证明他在发现漏洞时违反了法律，否则你无法强迫他这样做。迄今为止，您已经完全免费地从一个（希望如此——否则会让自己陷入困境）高技能的人那里获得了几个小时的工作。要么你认为值得付钱让他继续提供服务，要么你不认为。

*看到标题，我认为这不是黑帽行为，除非他故意利用这些漏洞来谋取利益或伤害自己（/直接将漏洞提供给有此意图的人）。如果他只是拒绝透露，争论将在白帽/灰帽定义之间。

研究人员没有制造漏洞，也没有威胁要发布或利用他发现的东西。如果你不想为他的工作付钱，那就不要，你的公司不会比他联系你之前更糟。事实上，他给了你一份礼物，告诉你有一个漏洞，你可以自己或通过其他承包商找到。

所以不，他没有做任何不道德的事情。

我是一个漏洞猎人，我不知道为什么这里的每个人都认为他可以在未经许可的情况下攻击您的网站，自己确定赏金金额，并威胁要阻止潜在的危险缺陷，因为他没有得到他的钱想要。他为什么不事先询问你的政策？您从未声称要运行错误赏金计划，或者一开始就可以为任何人支付任何费用。

再次澄清一下，OP 没有注册 Open Bug Bounty 项目。该项目提供成为研究人员和不运行赏金计划的网站之间的中介。此外，他们明确提到您没有义务支付任何费用，如果研究人员阅读指南，他应该很清楚这一点。

网站所有者可以以她/他认为最合适且与研究人员的努力和帮助相称的方式对研究人员表示感谢。我们鼓励网站所有者至少向研究人员说声“谢谢”或在研究人员的个人资料中写下推荐信。但是，绝对没有义务或义务表示感谢。

（强调我自己的）

如果他期望获得金钱奖励，他应该在实际运行赏金计划的公司中寻找漏洞。有很多信誉良好的程序会支付高额奖励。

研究人员随后发送了一封后续电子邮件，称他发现了更多漏洞，但由于我们没有捐款，他将自己保留这些漏洞。

如果他已经找到了它们并且将它们放在列表中并让您知道并不费力，那么是的，我认为阻止这些错误是不道德的。¹你没有要求他为你工作。他本可以询问您是否事先为错误付费。而且他并没有为您提供捐赠的专业知识-从您的描述来看，这听起来更像是一种温和的威胁，即如果您不付钱给他，您的网站就会处于危险之中。

将此事件视为您需要在安全方面进行更多投资的暗示。考虑建立一个真正的漏洞赏金计划，提供小额赏金或聘请专业的渗透测试员。但是，如果您从未承诺过，请不要让他向您勒索钱财。

¹不是他应该为你做免费的工作。事实上，他提到有些事情他不会告诉你，除非你付给他一定的金额，这使得这不道德，特别是如果利用这些漏洞可能会威胁到你公司的未来。

他不需要透露——但他知道在第二轮进入你不需要付钱。那么他的动机是什么？你不知道——所以他正在利用这个差距对你施加压力。

但是，由于他没有威胁要发布恶意软件或将其出售给黑帽，因此如果他从不这样做，或者如果他只是公开转储漏洞而不将其出售给黑帽，那么他可能在法律上甚至道德上都清楚。

他可以合法地将其出售给民族国家和安全公司，但不知道您的代码的重要性，无法说这是否是“研究人员”的可销售场所。

支付公平的市场价值可能是您最好的选择。该人已经花时间进行研究，并且这些信息确实对您有价值。即使他们公开发布它，他也是合法的。它归结为无通知发布会对您造成什么伤害。如果答案不多，请忽略它。否则拿出现金。顺便说一句，这纯粹是功利主义的-并不是真正在讲道德。从道德上讲，他应该放弃研究你的应用程序/网站，因为他知道你对付费不感兴趣，除非有他认为你正面临风险的公共数据。