Exploitコードを書いた事ある人ならわかると思うけど、出来るだけ多くの
環境で動かそうとすると検証にすごく手間がかかるんだよね。

苦労して書いたExploitコードで開発元に脆弱性の報告をしても有難がられる
どころか煙たがられるだけだし、BUGTRAQ等に自己顕示欲任せに脆弱性情報を
公開しても公開自体が法律に引っかかる国も増えてきました。

情報の行き場がなくなると当然地下に潜るわけで、今はPCも普及してきて
カモが増えてきた事もあって、近年一番の脆弱性情報の買取先はマルウェア
業界らしいですからね。

この会社がそうなのかは知らないですけど、マルウェア業界に行っていた情報を
横流しにせよ開発にフィードバックして正常な状態に戻すように情報の流れを
変えようとするのは褒められるべき事です。

ただ上記の商売が成り立つのは考えにくく
最初は情報をマルウェア業界に買ってもらって開発側が対処せざる得ない状態に
させて開発側にも善意を装って情報を買ってもらうとかいうマッチポンプモデルを
邪推してしまうんですがｗ