Преди време стана ясно, че АНС са използвали 0-day уязвимости в различни софтуерни продукти, за да си отворят достъп до системите, но едва тези дни има и конкретни доказателства за използването на непокрити уязвимости от агенцията. И освен, че ползват свои собствени екипи за откриване и експлоатиране на неоткрити уязвимости, то АНС са ползвали и външни разработчици за това.Новината бе разпространена, след като направено искане за достъп до информация от страна на
MuckRock беше уважено и стана ясно, че агенцията е сключила договор с френската компания Vupen, която е специализирана в откриването на 0-day уязвимости в различни софтуерни продукти и системи. Веднъж открили такава уязвимост, компанията разработва експлойт и го продава на правителствени структури по света.Макар и да не е изненада за мнозина подобна новина, то съществуването на доказателство за сътрудничеството на агенцията с френската компания до известна степен променя нещата. Всъщност, подобни практики не са чужди на Вашингтон, след като
стана ясно, че при разработката на Stuxnet, който имаше за цел саботирането на ядрената програма на Иран, САЩ са ползвали услугите на компания или частни лица за доставянето на експлойти за неоткрити дотогава уязвимости.Vupen пък не крият това, с което се занимават, като заявяват на сайта си, че работят с правителствени агенции и разузнавателни служби. В
интервю за ThreatPost отпреди година, изпълнителният директор на компанията Чуки Бекрар (Chaouki Bekrar) заяви, че компанията не работи с всеки и клиентите им минават строг подбор, като едно от изискванията към тях е да са членове на НАТО, АСЕАН или АНЗЮС (Договореност за обща сигурност между Австралия, Нова Зеландия и САЩ). Освен това, клиент на Vupen не може да е обект на санкции от страна на САЩ, ЕС или ООН.
