蘋果近日宣布，對其安全獎(jiǎng)勵(lì)計(jì)劃（Bug Bounty Program）進(jìn)行重大升級(jí)，將發(fā)現(xiàn)并報(bào)告頂級(jí)漏洞的最高獎(jiǎng)勵(lì)金額提升至 200 萬美元，相比此前直接翻倍。此舉旨在吸引全球安全研究人員，共同應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊威脅。

此次調(diào)整不僅提高了基礎(chǔ)獎(jiǎng)勵(lì)金額，還引入了額外獎(jiǎng)金機(jī)制。研究人員如果發(fā)現(xiàn)的漏洞能夠繞過蘋果的「鎖定模式」（Lockdown Mode），或是在測試版（beta）軟件中被捕獲，還可獲得額外獎(jiǎng)勵(lì)。

蘋果表示，在疊加各類獎(jiǎng)金后，單次支付的總金額可能超過 500 萬美元，并稱這是目前所有同類獎(jiǎng)勵(lì)計(jì)劃中最高的價(jià)碼。

蘋果此次更新的核心變化在于，獎(jiǎng)勵(lì)重點(diǎn)從單個(gè)漏洞轉(zhuǎn)向了完整攻擊鏈的挖掘。現(xiàn)實(shí)中，復(fù)雜的網(wǎng)絡(luò)攻擊往往通過串聯(lián)多個(gè)漏洞發(fā)起，形成一系列組合攻擊。因此，蘋果大幅提高了遠(yuǎn)程攻擊漏洞的獎(jiǎng)金，而那些在實(shí)際攻擊中不常見的漏洞類型則相應(yīng)降低了獎(jiǎng)勵(lì)金額。

為提高漏洞驗(yàn)證效率，蘋果還引入了全新的 「目標(biāo)旗幟」（Target Flags） 機(jī)制。這一設(shè)計(jì)靈感來源于網(wǎng)絡(luò)安全競賽中的 「奪旗賽」，研究人員在成功利用漏洞并達(dá)到特定權(quán)限（如執(zhí)行代碼或任意讀寫數(shù)據(jù)）時(shí)，可以捕獲一個(gè)「旗幟」。

該旗幟將由蘋果快速驗(yàn)證，一旦通過，研究人員會(huì)立即收到獲獎(jiǎng)通知，獎(jiǎng)金也將在下一個(gè)支付周期發(fā)放。相比以往需要等待數(shù)月直到蘋果發(fā)布補(bǔ)丁才能拿到獎(jiǎng)金的流程，這一機(jī)制極大縮短了獎(jiǎng)勵(lì)周期。

除了流程優(yōu)化，蘋果還擴(kuò)大了獎(jiǎng)勵(lì)范圍，并提升了某些高價(jià)值漏洞的獎(jiǎng)金。例如：

• ? 繞過 WebKit 沙盒的漏洞：最高獎(jiǎng)勵(lì)提升至 30 萬美元；
• ? 通過無線電技術(shù)實(shí)現(xiàn)的近距離漏洞攻擊：最高可獲 100 萬美元；
• ? 完全繞過 macOS「門禁」（Gatekeeper）安全機(jī)制的漏洞：獎(jiǎng)勵(lì)提升至 10 萬美元。

蘋果希望通過這些高額獎(jiǎng)勵(lì)，吸引更多頂尖安全研究人員提交關(guān)鍵漏洞，進(jìn)一步強(qiáng)化系統(tǒng)安全。

這項(xiàng)更新的獎(jiǎng)勵(lì)計(jì)劃將從 2025 年 11 月起正式生效。自從 2020 年起，蘋果將安全獎(jiǎng)勵(lì)計(jì)劃向公眾開放以來，已向 800 多名研究人員支付了超過 3500 萬美元的獎(jiǎng)金。

通過數(shù)百萬美元的懸賞換取數(shù)十億用戶的安全，這無疑是一筆劃算的買賣，也再次表明了蘋果對用戶隱私和系統(tǒng)安全的高度重視，而高安全性，也一直是 iOS 等系統(tǒng)的核心競爭力之一。