时令 发自 凹非寺

量子位 | 公众号 QbitAI

挖出一个普通漏洞，最高奖励200万美元（1420万人民币）。

挖到一个特殊漏洞，奖金更是高达500万美元（3560万人民币）。

苹果这次在安全投入上，真是下血本了。

以上，是苹果全新升级的安全赏金计划。

苹果公司亲自发声强调：

此次我们将最高基础奖金翻倍至200万美元，这不仅在业内前所未有，更是目前所有已知赏金计划中金额最高的。

但这个漏洞可不是普通的漏洞，而是能达到与复杂商业监控软件攻击同等危害程度的漏洞。

下面具体来看。

提高了多项漏洞类别的奖励金额

自近十年前启动漏洞赏金计划以来，苹果始终以设置高额的最高奖金著称，2016年达20万美元，2019年增至100万美元。

截至目前，该计划已向800多名研究人员支付了超过3500万美元（2.5亿）的奖励。

对此，苹果安全工程与架构副总裁Ivan Krstić表示：

我们设立了高达数百万美元的奖金，其用意十分明确。

我们希望那些能破解最棘手漏洞、应对最复杂威胁，特别是能模拟商业监控软件攻击手法的顶尖研究人员，能因其相应技术能力和时间精力获得与之匹配的丰厚回报。

此次升级安全赏金计划，苹果将最高基础奖金一下翻倍至200万美元，就可见其对于自身安全系统的重视程度。

不仅如此，苹果还在基础奖金上进一步加码，为发现绕过锁定模式和测试版软件的漏洞提供额外奖金，这使得最高金额将突破500万美元。

除了创纪录的最高奖金，苹果也上调了其他多个漏洞类别的奖励标准，进一步激励安全研究社区投入关键技术领域的探索。

例如，针对两个自发布以来尚未被成功攻破的领域——彻底绕过Gatekeeper和实现未经授权的iCloud访问，悬赏金额已分别提升至10万与100万美元。

此外，苹果为覆盖更多攻击面，还进一步扩展了赏金类别。成功发现一键式WebKit沙盒逃逸，可获30万美元的奖励，发现任何无线电实现的无线近距离漏洞，奖励甚至高达100万美元。

除了发现漏洞有奖励外，苹果还推出了目标标记Target Flags，这是一种让研究人员能够客观证明某些顶级赏金类别（包括远程代码执行、透明度、同意和控制（TCC）绕过）可利用性的新方式，并帮助判定特定奖励的资格。

提交带有Target Flags报告的研究人员将有资格获得加速奖励，在研究被接收和验证后即可立即处理奖励，哪怕修复尚未发布。

2022年，苹果设立了1000万美元网络安全资助金，用于支持民间社会组织调查那些高度定向的雇佣监控软件攻击。

上个月，随着iPhone17的推出，一项安全防护功能也应运而生——内存完整性强制保护，旨在增强iPhone抵御最常见且最常被利用的软件漏洞的能力。

为此，苹果宣布将向民间社会组织提供一千部iPhone 17，这些设备将分配给面临高风险的特殊群体，其中特别包括可能成为商业监控软件攻击目标的民间社会成员。

最后，苹果表示，此次更新将于2025年11月生效，届时还将在Apple Security Research网站上完整公布新增及扩展的赏金类别、奖励标准和奖金细则。

让我们拭目以待吧～

参考链接：

[1]https://9to5mac.com/2025/10/10/apple-announces-major-evolution-of-its-security-bounty-program-2-million-top-award-more/

[2]https://www.wired.com/story/apple-announces-2-million-bug-bounty-reward/

[3]https://security.apple.com/blog/apple-security-bounty-evolved/