在拒绝对本地端权限扩张类型的漏洞发抓漏奖金之后，Valve认错了，开始接受LPE等级的漏洞回报

就在代号为Felix的俄罗斯安全研究人员Vasily Kravets连续公开揭露两个Steam客户端程式的权限扩张漏洞之后，Valve向媒体发出了声明，表示拒绝Felix所提出的第一个漏洞是错误的。

Felix当初透过Valve于HackerOne上执行的抓漏奖励专案，回报了Steam程式的本地端权限扩张漏洞，但被以超出抓漏奖励专案的范围而拒绝，于是Felix在不被同意的状况下公开了该漏洞，接着即成为该专案的拒绝往来户，使得本周Felix再度对外揭露Steam程式的第二个本地端权限扩张（Local Privilege Escalation，LPE）漏洞。

在媒体纷纷要求Valve评论此事时，Valve发表声明，坦承当初认为Felix所提出的漏洞超出抓漏奖励专案范围是不对的，该专案唯一排除的是Steam程式用来发动电脑上既有恶意程式的漏洞，对规则的误解，使得他们错失了更严重的本地端权限扩张漏洞。

因此，Valve已变更HackerOne平台上的专案规则，明确指出任何允许恶意程式不必经由管理凭证就能借由Steam扩充权限的漏洞，或是任何未经授权即可变更Steam权限的漏洞，都在抓漏范围内。

而对于外界质疑Valve是因不想支付奖金才选择忽视Felix所提报的漏洞，Valve也说，该公司在过去两年内已与263名安全研究人员合作，找出及解决了约500个安全漏洞，支付了超过67.5万美元的奖金，期望能继续与安全社群合作以改善产品的安全性。

此外，Valve也正在修补Felix所公布的第二个本地端权限漏洞。不过，Felix向媒体透露，截至本周四（8月22日）Valve或HackerOne并未跟他联系，且他依旧遭到该抓漏专案的封锁。