Bianews 5月30日消息，在今日火星财经“王峰十问”第十七期对话中，对于今天凌晨，EOS创始人BM在电报群中称360报告中提到的漏洞早已被EOS修复，且早于360发布报告的时间，暗指360制造恐慌一事，360集团创始人兼CEO周鸿祎表示，为防止EOS没修复就公布，会招致大波黑客攻击，所以360发布报告时间会晚于修复时间。

此外，对于漏洞本身，BM称大部分漏洞是来源于第三方代码库而非EOS核心代码；且该漏洞并不能改写可执行内存，且不能获得Root权限，除非部署节点时就已经是以Root用户身份来运行。对此，周鸿祎表示，是否获得root权限，不影响攻击者控制EOS节点，没有root权限也是一样的。如果用户使用root权限运行eos，那么攻击者就可以获取root权限。

以下是回答原文：

周鸿祎：对于已经修复这个事情，我还是需要和大家普及一个知识，就是我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后我们再公开。因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去搞他们，所以我们发布报告的时间当然会是晚于修复时间的。

这个不仅仅是对EOS，对微软谷歌苹果都是一样的，对于安全漏洞，通常的步奏就是，首先是挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用，把这些研究透了，再向相关的厂商汇报，比如这次EOS的，就是把怎么利用的视频还有涉及的详细代码报告给了对方，再然后就是对方修复，等对方确认修复之后，我们才会对外公布。

他提到的这个root权限，root权限是指计算机系统里面的最高权限。是否获得root权限，不影响攻击者控制EOS节点，没有root权限也是一样的。如果用户使用root权限运行eos，那么攻击者就可以获取root权限。

BM的回应有点让人混乱，看起来以为是，我们报告前，他们已经修复了，其实是我们遵循了负责任的行业标准流程，报告->修复->公开，非常明确地说 我们先私下联系了BM 通知了他们eos漏洞 希望他们先修复 这都是有聊天记录截屏的 等到eos修复了 我们再对外发布这个漏洞公告。

在这整个过程中，360都是非常负责任的严格遵循安全行业的安全漏洞披露原则的。 我们做为国内最大的一家安全厂商，在全球也是排名前三的安全厂商，我们希望和全球同行和科技公司一起，解决网络安全问题，降低网络安全问题给用户带去的损害。 帮助大家发现漏洞、修补漏洞，让大家提供安全放心的产品给用户，是我们共同的责任。 区块链作为新兴的技术方向，我们参与进来，无论是这次披露EOS漏洞，还是之前和其他区块链机构的沟通，都是希望和大家一起共同构建安全放心的区块链产品和服务。

我再强调一遍，我们提交的漏洞，EOS官方是确认真实有效的，并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情，而且，今天早上在和BM沟通时，他们依然是非常认同我们的成果和技术实力的。

至于制造恐慌，如果说我们要制造恐慌，直接在主网上线时放出这个，恐慌效果一定比现在要好的多。

这也是安全圈的行业通行做法，对方不修复，我们不会公告。 这事我们一直在BM单独沟通，他在Telegram上的留言的截图是昨天晚上的，比较断章取义。 实际上那个留言之后，他很快回复说，漏洞是真实存在有效的 但是就被截了一点儿

今天我们也还在和对方继续保持沟通，对方对我们表示感谢，也表示会给我们发放漏洞奖金，会对外发致谢。