時令 發(fā)自 凹非寺
量子位 | 公眾號 QbitAI

挖出一個普通漏洞，最高獎勵200萬美元（1420萬人民幣）。

挖到一個特殊漏洞，獎金更是高達(dá)500萬美元（3560萬人民幣）。

蘋果這次在安全投入上，真是下血本了。

以上，是蘋果全新升級的安全賞金計劃。

蘋果公司親自發(fā)聲強調(diào)：

此次我們將最高基礎(chǔ)獎金翻倍至200萬美元，這不僅在業(yè)內(nèi)前所未有，更是目前所有已知賞金計劃中金額最高的。

但這個漏洞可不是普通的漏洞，而是能達(dá)到與復(fù)雜商業(yè)監(jiān)控軟件攻擊同等危害程度的漏洞。

下面具體來看。

提高了多項漏洞類別的獎勵金額

自近十年前啟動漏洞賞金計劃以來，蘋果始終以設(shè)置高額的最高獎金著稱，2016年達(dá)20萬美元，2019年增至100萬美元。

截至目前，該計劃已向800多名研究人員支付了超過3500萬美元（2.5億）的獎勵。

對此，蘋果安全工程與架構(gòu)副總裁Ivan Krsti?表示：

我們設(shè)立了高達(dá)數(shù)百萬美元的獎金，其用意十分明確。
我們希望那些能破解最棘手漏洞、應(yīng)對最復(fù)雜威脅，特別是能模擬商業(yè)監(jiān)控軟件攻擊手法的頂尖研究人員，能因其相應(yīng)技術(shù)能力和時間精力獲得與之匹配的豐厚回報。

此次升級安全賞金計劃，蘋果將最高基礎(chǔ)獎金一下翻倍至200萬美元，就可見其對于自身安全系統(tǒng)的重視程度。

不僅如此，蘋果還在基礎(chǔ)獎金上進一步加碼，為發(fā)現(xiàn)繞過鎖定模式和測試版軟件的漏洞提供額外獎金，這使得最高金額將突破500萬美元。

除了創(chuàng)紀(jì)錄的最高獎金，蘋果也上調(diào)了其他多個漏洞類別的獎勵標(biāo)準(zhǔn)，進一步激勵安全研究社區(qū)投入關(guān)鍵技術(shù)領(lǐng)域的探索。

例如，針對兩個自發(fā)布以來尚未被成功攻破的領(lǐng)域——徹底繞過Gatekeeper和實現(xiàn)未經(jīng)授權(quán)的iCloud訪問，懸賞金額已分別提升至10萬與100萬美元。

此外，蘋果為覆蓋更多攻擊面，還進一步擴展了賞金類別。成功發(fā)現(xiàn)一鍵式WebKit沙盒逃逸，可獲30萬美元的獎勵，發(fā)現(xiàn)任何無線電實現(xiàn)的無線近距離漏洞，獎勵甚至高達(dá)100萬美元。

除了發(fā)現(xiàn)漏洞有獎勵外，蘋果還推出了目標(biāo)標(biāo)記Target Flags，這是一種讓研究人員能夠客觀證明某些頂級賞金類別（包括遠(yuǎn)程代碼執(zhí)行、透明度、同意和控制（TCC）繞過）可利用性的新方式，并幫助判定特定獎勵的資格。

提交帶有Target Flags報告的研究人員將有資格獲得加速獎勵，在研究被接收和驗證后即可立即處理獎勵，哪怕修復(fù)尚未發(fā)布。

2022年，蘋果設(shè)立了1000萬美元網(wǎng)絡(luò)安全資助金，用于支持民間社會組織調(diào)查那些高度定向的雇傭監(jiān)控軟件攻擊。

上個月，隨著iPhone17的推出，一項安全防護功能也應(yīng)運而生——內(nèi)存完整性強制保護，旨在增強iPhone抵御最常見且最常被利用的軟件漏洞的能力。

為此，蘋果宣布將向民間社會組織提供一千部iPhone 17，這些設(shè)備將分配給面臨高風(fēng)險的特殊群體，其中特別包括可能成為商業(yè)監(jiān)控軟件攻擊目標(biāo)的民間社會成員。

最后，蘋果表示，此次更新將于2025年11月生效，屆時還將在Apple Security Research網(wǎng)站上完整公布新增及擴展的賞金類別、獎勵標(biāo)準(zhǔn)和獎金細(xì)則。

讓我們拭目以待吧～

參考鏈接：
[1]https://9to5mac.com/2025/10/10/apple-announces-major-evolution-of-its-security-bounty-program-2-million-top-award-more/
[2]https://www.wired.com/story/apple-announces-2-million-bug-bounty-reward/
[3]https://security.apple.com/blog/apple-security-bounty-evolved/