检测完app被通报还有漏洞？我复盘了检测公司漏报的责任认定案例

“APP上线前刚拿到的安全检测报告，结论是‘低风险’，结果上线第二周就被监管通报存在高危漏洞。”这话不是我编的，是我们一个同行群里的真实案例。通报下来后第一个问题就是：检测公司要不要负责？我们当时的检测合同里，免责条款写了整整两页，销售拍胸脯说“这是标准模板”。等到真要追责，法务一看就摇头——条款把漏报责任全撇干净了。

今天我就把这几年踩坑、研究、跟法务反复掰扯的经验梳理出来，重点聊两个事：检测公司合同里的“免责条款”到底有没有法律效力，以及怎么设计检测方案才能把漏报风险降到最低。

一、一个真实的追责困境：报告说安全，监管说高危

先说我2023年经历过的一个项目。我们某款金融类APP上线前，花12万找了家号称“有CNAS资质”的检测公司做渗透测试，报告结论是“中低风险，建议修复后上线”。结果上线不到一个月，省通信管理局发函通报：该APP存在SQL注入高危漏洞，要求立即整改。

问题来了：检测公司说他们“按照行业标准流程检测”，合同里也写了“检测结果仅反映样本在测试期间的状态，不构成对产品整体安全性的保证”。意思是——你测的时候没问题，不代表上线后没问题，所以我不担责。

这种条款是不是真的“无敌”？我当时找了几位做信息安全法律研究的专家咨询，结论让我挺意外的。

二、免责条款的法律效力：不是写进去就有效

先说结论：检测合同里的“免责条款”并不必然有效，尤其是涉及法定义务的部分。

根据《民法典》第四百九十七条，提供格式条款一方不合理地免除其责任、加重对方责任、排除对方主要权利的，该条款无效。具体到安全检测行业，有两条关键逻辑：

第一，网络安全漏洞事件不属于“不可抗力”，不能以此免责。

很多检测公司的合同会把“未知漏洞”“新型攻击手法”“零日漏洞”等列为免责情形，理由是“不可预见”。但根据《民法典》第180条，不可抗力是“不能预见、不能避免且不能克服的客观情况”。

网络安全法第二十一条明确规定了网络运营者的安全保护义务，包括采取技术措施防范风险。漏洞检测本身就是这项义务的一部分。而且，行业内有《信息安全技术 网络安全漏洞分类分级指南》《网络安全漏洞管理规范》等标准，漏洞管理是有章可循的。换句话说，漏洞是可检测、可防范的，不是“天灾”，检测公司不能拿“不可抗力”当挡箭牌。

第二，如果检测公司未尽到“与其资质宣称相匹配的专业注意义务”，即便合同写了免责，也可能被认定有过错。

什么意思呢？举个例子：一家公司宣传自己“拥有CNAS资质”“累计检测5000+应用”，但在检测中连OWASP Top 10里的基础漏洞都没发现，或者使用了过时的扫描器配置，那就算合同里写了免责，法院也可能认定其未尽到专业义务。

类似逻辑在格式条款纠纷中已有适用——商家不能通过格式合同“一刀切”地排除自己的核心责任，尤其是涉及用户人身、财产安全的事项。

三、两类最难追责的“漏报”场景

当然，不是说所有漏报都能追责。我梳理下来，真正难追责的是这两类：

场景一：业务逻辑漏洞漏报

这类漏洞依赖业务上下文，自动化工具基本扫不出来。比如一个“价格改成负数导致支付绕过”的逻辑缺陷，扫描器看到的就是正常请求和响应，没有明显异常。国际上的安全测试报告也明确指出，业务逻辑缺陷通常超出了自动化漏洞扫描的技术能力范围，需要人工分析和推理才能发现。

如果合同里约定的是“自动化安全扫描+标准报告”，那业务逻辑漏洞漏报，检测公司确实有抗辩空间。

场景二：零日漏洞漏报

2025年新发布的《国家网络安全事件报告管理办法》里有个值得注意的条款：对采取合理必要的防护措施，有效降低网络安全事件影响和危害，并按照规定及时报告的运营者，可视情从轻或不予追究责任。

反过来理解——如果检测公司已经采用了行业公认的检测方法和工具（比如DAST+SAST组合），但因为漏洞是未知的（零日），没有被任何公开签名或规则覆盖，那漏报也很难归责。检测公司可以说“这是行业技术局限，不是我的过错”。

四、降低漏报风险的检测方案设计：我从教训中总结的4条

追责是最后的手段，更重要的是在签合同之前就把责任边界划清楚。我现在经手的项目，检测方案会按这个框架设计：

1. 区分“可检测范围”和“不可检测范围”，写入合同附件

别用笼统的“安全检测服务”这种描述。我会要求检测公司在方案里明确列出：

• 检测覆盖范围：哪些漏洞类型（OWASP Top 10、CWE Top 25）、哪些检测方法（SAST/DAST/人工渗透）、哪些资产范围（API接口、管理后台、SDK组件等）
• 不覆盖范围：哪些不在本次检测内（如第三方SDK漏洞、特定业务逻辑等）

这样一旦漏报，判断责任就很清晰——如果漏洞类型在“覆盖范围”内但没检出，检测公司责无旁贷。

2. 要求“高危漏洞零漏报”的专项承诺

对于SQL注入、XSS、越权等OWASP Top 10中的高危类型，我会要求检测公司在合同中做专项承诺，而不是用通用条款含糊带过。同时约定：如果上述类型漏洞在检测后30天内被监管通报或公开exploit确认存在，检测公司需按合同金额的一定比例承担赔偿。

这不是钻牛角尖——行业里领先的DAST工具已经能做到基于漏洞验证的精准检测，对SQL注入、XSS等常见漏洞可以通过安全利用来确认漏洞真实可利用，而不是只抛一个“疑似”告警。既然技术上行得通，合同里当然可以约定。

3. 约定“递进式检测”而非“一次性检测”

很多漏报的原因是检测深度不够。我现在的做法是分阶段：

• 阶段一（基础）：自动化SAST+DAST全量扫描，输出初步报告
• 阶段二（人工）：基于阶段一的结果，人工渗透重点模块（支付、登录、授权等）
• 阶段三（专项）：针对业务逻辑，设计定制的测试用例

费用按阶段结算，这样既控制预算，也明确每个阶段的交付标准和责任边界。如果只买阶段一，那业务逻辑漏报我自己担着；如果买了阶段三还漏，那就是检测公司的问题。

4. 明确“报告交付后的跟进义务”

检测公司出完报告就完事了？不。我会在合同里加一条：报告交付后，检测公司需在30天内提供漏洞修复验证服务——我们修复完，对方要重新跑一遍相关检测用例，确认漏洞确实修复了。

这条能避免“报告说有问题，我们修了，但监管说没修好”的尴尬。而且从合规角度看，《网络安全法》和《网络产品安全漏洞管理规定》都要求运营者在发现漏洞后“立即采取补救措施”，有检测公司协助验证，合规底气更足。

五、几个关键的法律和合规背景

补充几条我法务同事反复强调的规定，签合同前心里有数：

• 《民法典》第497条：格式条款无效的三种情形，包括“不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利”
• 《网络安全法》第22条、第60条：网络产品提供者发现漏洞未及时补救的，可责令改正、警告，甚至罚款（5万-50万）
• 《国家网络安全事件报告管理办法》（2025年11月施行）：对迟报、漏报、谎报网络安全事件的运营者依法从重处罚；对及时报告并采取合理措施的，可视情从轻或不予追究

最后一条很关键——主动报告+合理处置是减轻责任的关键。如果检测公司漏报导致你没发现漏洞，进而没报告，那最终挨板子的还是你。

写在最后

说回开头那个案例。我们的APP被通报后，检测公司咬死合同里的免责条款不放。但我们的法务找到了突破口：合同里写了“检测范围覆盖OWASP Top 10全部漏洞类型”，而被通报的SQL注入恰恰在Top 10里。最终对方同意退还50%检测费，并免费做一次复测。

这不是赢了多少赔偿，而是让我想明白一件事：检测合同不是“买了就安全”，而是“买了明确责任边界的安全”。那些动不动就“全包”“包过”的销售话术，合同里全是坑。把检测范围写清楚、把责任划明白、把验证环节做完整，比追责时跟对方律师扯皮重要得多。

现在的安全检测行业，技术能力参差不齐，但《民法典》和《网络安全法》给的底线是一致的——任何一方都不能通过格式合同完全免除自己的法定义务。你找检测公司买的是“专业判断”，不是“免责金牌”。