首先，我不是律师。其次，这完全取决于您当地的法律。我只能代表我在英国和美国法律方面的有限经验。

在大多数国家/地区，您受到言论自由法的保护，假设您发布的信息不受某种形式的保密协议的保护，并且不被归类为军事机密。如果您发现 0day 作为您在公司雇用期间执行的测试的一部分，您可能会受到合同义务的限制（例如NDA）。任何被政府归类为机密的信息都将受到法律的保护（例如英国的《官方机密法》或美国 1917 年的《间谍法》），这使得该信息的分发是非法的。对于您与生产软件的公司没有从属关系的私人案件，您通常不承担责任。您正在发布有关他们其中一种产品的调查信息， 作为标准言论自由立法的一部分，有权这样做。

但是，这并不是说您在私人案件中会 100% 摆脱困境。视情况而定，公司可能会决定提起民事诉讼，要求赔偿损失。我不知道有任何这样的成功案例，但这是值得考虑的事情。

最后，最好遵循惠顿定律：“不要做鸡巴！” - 实行负责任的披露并与您联系的供应商保持良好关系。从奖励和就业前景的角度来看，它最终可能会非常有利可图。

这取决于你在哪里，但总的来说没有。在德国，理论上你可能会被指控犯罪，而不仅仅是被起诉，尽管这种情况极不可能发生。在世界上的大多数地方，除了被抨击、谴责和诽谤之外，你什么都不会发生。毕竟，这已经发生过无数次了，尽管您可能会感到非常悲伤，但基于发布有关漏洞的信息而提起诉讼的先例还没有。

这样想，他们能告你什么呢？软件不是你写的，是开发人员写的，而且开发人员不会因为安全漏洞而被起诉（如果他们写了，事情会很快发生变化，不是吗？），那么你怎么能因为找到一个漏洞而被起诉呢？这将开创一个可怕的先例，因为如果他们因发现漏洞而被起诉，没有人会寻找漏洞，因此唯一会发现漏洞的人将是犯罪分子，他们不会将它们公之于众。

从道德上讲，您确实应该将软件通知开发人员并让他们有机会在发布之前对其进行修补。这是好的业力。

同样，我不是律师或任何人，但我知道在英国和 1990 年《计算机滥用法》第 3a 节：

3a：制造、供应或获取用于第 1 或 3 条下的犯罪的物品

1. 任何人制造、改编、供应或提议供应任何物品，意图用于实施或协助实施第 1 或 3 条所指的罪行，即属犯罪。
2. 任何人如提供或提议提供任何物品，相信该物品很可能被用来实施或协助实施第 1 或 3 条所订罪行，即属犯罪。
3. 任何人如取得任何物品以供其用于实施或协助实施第 1 或 3 条所订罪行，即属犯罪。
4. 在本节中，“物品”包括以电子形式保存的任何程序或数据。
5. 犯有本条规定的罪行的人应负责—— (a) 在英格兰和威尔士，一经即决定罪，将被处以不超过 12 个月的监禁或不超过法定最高限额的罚款，或两者兼施；(b) 在苏格兰被即决定罪后，处以不超过六个月的监禁或不超过法定最高限额的罚款，或两者兼施；(c) 一经公诉罪名成立，可处以不超过两年的监禁或罚款或两者兼施。

因此，在英国，您将提供漏洞利用并因此违反法律，因为这可能会对第 1-3 节产生影响。