软件厂商会修复这些漏洞，但用户应该谨记，总有零日漏洞利用恣意生长。

美国CIA网络间谍武器库数据泄露之后，软件厂商重申了其及时修复漏洞的承诺，告诉用户：该机构被泄文档中描述的很多漏洞都已经被修复了。

从公共关系角度看来，这些保障都是可以理解的，但它们真心改变不了任何事。尤其是对被国家支持黑客所盯上的公司和用户来说。他们使用的软件，并不比维基解密公布了那 8,700+ CIA文档之前更不安全，也没有受到更好的防护。

被泄文件描述的是CIA网络部所用恶意软件工具和漏洞利用程序，可以黑进所有主流桌面和移动操作系统，以及网络设备和嵌入式设备，比如智能电视。这些文档不包含工具真实代码，其中一些可能说明问题的描述也被删去了。

维基解密创始人阿桑奇称，该揭秘网站会与软件厂商共享未公开的信息，以便漏洞能被修复。但即便维基解密这么做了，最好还是认清这些信息仅是适时出现的一帧快照而已。

这批文档中最近的时间戳是2016年3月初，可能揭示了文件从CIA系统中拷贝出来的时间。一些漏洞利用列表也提示了相同信息。

比如说，描述苹果iOS漏洞利用的页面，包含有一张按iOS版本排列的表格。这张表格终止于 iOS 9.2——在2015年12月发布的版本。下一个重要更新，iOS 9.3，就是在2016年3月发布的了。

代号Nandao的一个内核漏洞利用，来自英国政府通信总部(GCHQ)，被列为对 iOS 8.0~9.2 有效。这是否意味着次漏洞对 iOS 9.3 及其后版本就不起作用呢？未必。更有可能的是，该表格终止于9.2，仅仅是因为CIA文件被复制时最新的版本就到9.2了。

而且，没有进一步细节描述的话，苹果公司也无法确定这个和其他漏洞利用是否已打上补丁。Nandao的唯一描述是：这是个堆溢出内存泄露漏洞，甚至连作用于哪个内核组件都没说。

“除非苹果获得漏洞完整描述，并进行了深入全面的根源分析，否则它无法确定更新的版本受不受影响。”漏洞情报公司 Risk and Security 首席研究官卡斯滕·艾拉姆表示。

影响其他软件的漏洞也是相同的情况。艾拉姆的公司已证实，其中一些漏洞已被修复，但有些仍在受影响软件的最新版本中可用，比如Prezi桌面演示软件中的DLL注入漏洞。

用户不应仅仅因为在被泄文件中被提到，就假定之后更新的版本就不受影响。

而且，即便所有这些漏洞都被提供给了厂商做修复，也不意味着CIA就没有更新的零日漏洞可用了。其漏洞获取工作可没在2016年3月就停止。

该机构在其内部文档被泄之时拥有没补上的漏洞利用，那现在就很可能手握流行程序和操作系统最新版本的类似漏洞。

总有零日漏洞在我们看不到的地方恣意生长，不仅仅在情报机构的手中。2015年意大利司法监视软件公司 Hacking Team 泄露事件，就揭示了该公司一直在从黑客手中购买零日漏洞利用。

这些年来，无数黑客组织都在其攻击中使用领日漏洞利用，有些使用得异常频繁，很可能囤积了一大批未修复的漏洞。还有私人代理支付大量钱财购买此类漏洞，再转手卖给其客户——司法部门和情报机构。

“该泄露很大程度上仅证实了此类机构的能力大大超出我们想象。”

艾拉姆认为，软件行业可以更好地防止开发人员在代码中引入漏洞，也可以创建各种功能让漏洞利用更难以实现，减少漏洞风险。但在可以预见的未来清除所有漏洞的魔杖是不存在的。若说有什么的话，年度统计数据显示，软件漏洞的数量实际上是在增加的。

“出于此原因，在不引发妄想的情况下，用户最好谨记：在数字世界遨游的时候，总有些人有实力想黑你就能黑。一点点逻辑、一咪咪怀疑、一些些安全意识，就能在物理和数字世界中都让你走得更远。”

可能成为网络间谍攻击目标的用户和公司，应采取多层次防御方法，不能单单依靠应用厂商补丁，还须将零日漏洞的存在纳入考虑。