2025年10月,苹果宣布自11月起重大升级安全漏洞赏金计划,将顶级漏洞最高奖励提至200万美元,翻倍增长,同时在奖励重点、机制、范围等多方面调整,力求吸引顶尖安全研究人员强化系统安全。自2020年该计划开放后,已支付超3500万美元奖金。
赏金计划重大升级,顶级漏洞奖励翻倍
苹果近日宣布,自2025年11月起对其安全奖励计划进行重大升级,将发现并报告顶级漏洞的最高奖励金额提升至200万美元,较之前直接翻倍。此次调整不仅提高基础奖励金额,还引入额外奖金机制,若研究人员发现的漏洞能绕过苹果的「锁定模式」,或是在测试版软件中被捕获,可获额外奖励。苹果称,叠加各类奖金后,单次支付总金额可能超500万美元,为同类奖励计划最高。
奖励重点转向完整攻击链挖掘
苹果此次更新的核心变化,是将奖励重点从单个漏洞转向完整攻击链的挖掘。由于现实中复杂网络攻击常串联多个漏洞发起组合攻击,因此苹果大幅提高远程攻击漏洞奖金,降低实际攻击中不常见漏洞类型的奖励金额。
引入“目标旗帜”机制,缩短奖励周期
为提高漏洞验证效率,苹果引入全新的「目标旗帜」机制。该机制灵感源于网络安全竞赛中的「夺旗赛」,研究人员成功利用漏洞达到特定权限,如执行代码或任意读写数据时,可捕获一个「旗帜」。苹果将快速验证,一旦通过,研究人员立即收到获奖通知,奖金在下一支付周期发放,极大缩短了相比以往需等数月直到苹果发布补丁才能拿到奖金的周期。
扩大奖励范围,提升部分高价值漏洞奖金
除流程优化,苹果还扩大奖励范围,并提升某些高价值漏洞奖金。例如,绕过WebKit沙盒的漏洞,最高奖励提升至30万美元;通过无线电技术实现的近距离漏洞攻击,最高可获100万美元;完全绕过macOS「门禁」安全机制的漏洞,奖励提升至10万美元。
计划成效显著,凸显安全重视
自2020年苹果将安全奖励计划向公众开放以来,已向800多名研究人员支付了超过3500万美元的奖金。通过高额悬赏保障数十亿用户安全,体现苹果对用户隐私和系统安全的高度重视,而高安全性也是iOS等系统的核心竞争力之一。
以上文章由 AI 总结生成
