好吧，这里有几个方面需要考虑，正如已经说过的那样，没有明确的答案。

一方面，您已经正确识别了公开披露的风险，但没有简单的补救措施，即攻击者可以利用该问题。

然而，不公开发布也存在风险。例如，其他实体完全有可能已经发现并正在利用您发现的问题。通过发布，您将通过允许防御者提出变通办法和缓解措施来平衡竞争环境，如果没有有关该问题的详细信息，他们可能无法做到这一点。

此外，虽然可能没有解决办法，但一般来说，一旦发现大多数技术安全问题（例如对主机的额外监控、阻止攻击系统）等，就可以应用其他缓解措施。

您可能想要做的是联系一个机构来讨论这个问题，并考虑让适当的行业/技术人员参与来查看协调披露。如果您查看过去几年出现的一些影响较大的问题，那通常是最好的方法。

至于与谁联系，一种选择是与CERT等习惯于协调问题披露的人交谈。

从道德上讲，您应该遵循哪条路径造成的损害最小。这很可能意味着您应该负责任地发布信息。只有在一个你比其他人都聪明的世界里，沉默才可能限制伤害。

我的观点是，发布信息造成的损害最小，因为：

1. 你不能假设你是唯一一个聪明到发现这个问题的人。此外，可以合理地假设其他人发现它并且是恶意的几率高于他们是非恶意的。
2. 同样，您说修补困难或不可能，但是将问题暴露给更多的眼睛会增加某人设计修补或补偿控制以合理降低风险的机会。

负责任的披露通常意味着首先联系所有者，如果他们不愿意或无法在合理的时间内解决问题，则升级为公开公告。

尽管我从未发布过任何如此重要的研究，但我不时地对这个特定问题提出了一些想法。这是我对事物的看法：

首先：这个问题没有解决方案/正确答案。由于伦理的本质，它是固执己见的。

错误和安全漏洞总是会发生。软件开发人员尽力避免它，但人为错误总是会增加它。了解一个问题总比相反好。如果人们知道您发现的安全漏洞，他们可以停止使用受影响的技术并转向替代方案（使用起来可能更安全）。如果人们不知道并且怀有恶意的人发现了该缺陷，那么如果人们可以采取行动，那么损害将大得多。

如果我在你的位置，我会释放它。