二维码改变生活，更便捷了商户收款环节。然而就在越来越多商户纷纷在收银台贴出微信支付二维码时，一位疑似外国安全人员的一篇文章把所有商户的心都揪了起来。

近日，一位名为1024rosecode的疑似外国安全人员在Twitter上联系360Netlab及趋势科技，并公开了一篇名为《微信支付SDK中的XXE漏洞》的文章，直指攻击者可通过该漏洞不花一分钱从商家处完成购买。

漏洞被曝出后的第一时间，微信赶紧出来稳定民心，公开表示“已修复相关漏洞”，并进一步猛注强心针，坚定表示——此次问题服务器端SDK的实际影响范围不大，完全可控。事实真如腾讯所言“完全可控”吗？一位资深程序员直言，开发与漏洞就像硬币的正反面，根本不存在“绝对安全”一说，这是网络科技不断进步的必经之路。如此看来，腾讯斩钉截铁的态度更像是在公众前的一场作秀和公关，目的只为从心理上安抚商家焦虑恐慌的情绪。毕竟微信单方面的修复并不意味着上百万使用微信支付的商户也对漏洞进行了修复。换句话说，即便微信端修复了漏洞也无法避免商户被攻击。

细思极恐之下，商户们个个恐慌，陷入大规模商品“搬空危机”。要知道，漏洞修复之前，谁都不能保证自己的商品绝对安全。所谓发生在别人身上的是故事，而发生在自己身上当真就成了事故了，且因此而蒙受的损失腾讯方是没有任何表态的，甚至人家“已修复相关漏洞”的言辞已经把自己完全摘干净了，潜台词可以理解为“再出事就别找到我头上了”。

据了解，截至发稿前，已经陆陆续续有商户在漏洞彻底修复前暂停使用微信支付收款，似乎当前只有屏蔽使用这一个方法才能从根本上杜绝商品被人搬空的风险。

对此，有网络支付安全专家表示，由于微信的庞大体系，使得此事牵涉的商户非常广泛，且风险远比想象得更大，一旦黑产成功实现了完整的攻击，那么不仅仅会给商户带来灭顶之灾，甚至还有可能威胁到消费者信息等数据内容的泄漏，届时消费者微信零钱里关联的银行卡也有可能被无辜殃及。可以肯定的是，微信支付这一次必须拿出可靠的防控措施以真正排解商户和消费者的担忧，若还是停留在嘴上安抚并不能彻底堵住更大规模风险的集中爆发，腾讯是时候该静下心来好好修炼内功弥补自身的漏洞了。