Die Zero-Day Initiative von TippingPoint hat ganz aktuell ein paar Zahlen veröffentlicht:
In den letzten zwei Jahren haben etwa 600 verschiedene Sicherheitsforscher 1000 Lücken an ZDI gemeldet. Aktuell bekommt ZDI rund 40 Lücken pro Monat und nimmt 10%, also 4 davon tatsächlich an (d.h. bezahlt Geld dafür).
Ich fürchte, unter diesen Bedingungen kann man noch nicht davon leben. Interessanterweise bezahlen Black Hats deutlich mehr für einen brauchbaren 0-Day als White Hats.