Natürlich kann sich jeder z.B. den Quellcode von Mozilla runterladen und da eine Sicherheitslücke einbauen (wenn das nötige KnowHow vorhanden ist). Wenn er aber das geänderte Programm nicht veröffentlicht, ist er der einzige, der die Schwachstelle auf seinem Rechner hat. Diese Schwachstelle auszunutzen bringt und schadet also niemandem was.