苹果近日宣布,对其安全奖励计划(Bug Bounty Program) 进行重大升级,将发现并报告顶级漏洞的最高奖励金额提升至 200 万美元,相比此前直接翻倍。此举旨在吸引全球安全研究人员,共同应对日益复杂的网络攻击威胁。
此次调整不仅提高了基础奖励金额,还引入了额外奖金机制。研究人员如果发现的漏洞能够绕过苹果的「锁定模式」(Lockdown Mode),或是在测试版(beta)软件中被捕获,还可获得额外奖励。
苹果表示,在叠加各类奖金后,单次支付的总金额可能超过 500 万美元,并称这是目前所有同类奖励计划中最高的价码。
苹果此次更新的核心变化在于,奖励重点从单个漏洞转向了完整攻击链的挖掘。现实中,复杂的网络攻击往往通过串联多个漏洞发起,形成一系列组合攻击。因此,苹果大幅提高了远程攻击漏洞的奖金,而那些在实际攻击中不常见的漏洞类型则相应降低了奖励金额。
为提高漏洞验证效率,苹果还引入了全新的 「目标旗帜」(Target Flags) 机制。这一设计灵感来源于网络安全竞赛中的 「夺旗赛」,研究人员在成功利用漏洞并达到特定权限(如执行代码或任意读写数据)时,可以捕获一个「旗帜」。
该旗帜将由苹果快速验证,一旦通过,研究人员会立即收到获奖通知,奖金也将在下一个支付周期发放。相比以往需要等待数月直到苹果发布补丁才能拿到奖金的流程,这一机制极大缩短了奖励周期。
除了流程优化,苹果还扩大了奖励范围,并提升了某些高价值漏洞的奖金。例如:
• 绕过 WebKit 沙盒的漏洞:最高奖励提升至 30 万美元; • 通过无线电技术实现的近距离漏洞攻击:最高可获 100 万美元; • 完全绕过 macOS「门禁」(Gatekeeper)安全机制的漏洞:奖励提升至 10 万美元。
苹果希望通过这些高额奖励,吸引更多顶尖安全研究人员提交关键漏洞,进一步强化系统安全。
这项更新的奖励计划将从 2025 年 11 月起正式生效。自从 2020 年起,苹果将安全奖励计划向公众开放以来,已向 800 多名研究人员支付了超过 3500 万美元的奖金。
通过数百万美元的悬赏换取数十亿用户的安全,这无疑是一笔划算的买卖,也再次表明了苹果对用户隐私和系统安全的高度重视,而高安全性,也一直是 iOS 等系统的核心竞争力之一。
