苹果安全赏金计划重大更新：最高500万美元奖励关键漏洞发现

2025年10月15日，05:45 | 动态 | 1条评论
标签：更新, 苹果, 漏洞赏金

漏洞赏金计划通常由大型企业组织，旨在鼓励网络安全研究社区寻找其产品和服务中的漏洞与安全弱点。发现漏洞的研究人员将获得奖励，通常以现金形式发放。奖励金额取决于多种因素，其中之一是所发现漏洞对用户实际安全的影响程度。

内容提要

• 苹果宣布更新Apple Security Bounty计划
• 变更将于2025年11月起生效
• 除了将奖金翻倍和实施漏洞利用链演示奖金外，苹果还引入了Target Flags机制
• Target Flags机制借鉴CTF竞赛模式，可加速提交验证和奖励资格认定

近期，苹果在官方博客上发布了Apple Security Bounty计划的更新信息。该计划将于今年11月开始实施，并在财务和组织方面引入了一系列重要变更。公司将零点击漏洞利用链（无需用户交互）的最高奖金翻倍至200万美元。

如果发现的漏洞还能绕过锁定模式（Lockdown Mode）并涉及测试版软件，奖金将增至500万美元。这是全球漏洞赏金计划中最高奖金金额之一。自2020年以来，苹果已向约800名安全研究人员支付了超过3500万美元。然而，尚未有任何提交的漏洞获得最高奖金，这表明其标准极为严格。

此外，其他类别的奖金也翻倍，以鼓励进行全面分析。具体包括：绕过Gatekeeper机制奖励10万美元，获取iCloud账户未授权访问奖励100万美元，WebKit沙箱逃逸奖励30万美元，通过无线连接无需物理交互获取设备未授权访问奖励100万美元。需要强调的是，苹果还计划表彰发现对用户实际安全影响较小的漏洞的研究人员，提供高达1000美元的奖励，以鼓励报告即便是最微小的错误。

公司有意提供高额奖金，以激励计划参与者研究反映高级攻击者（包括APT组织）实际使用技术的先进攻击方法。

另一项变更涉及实施Target Flags机制，该机制使研究人员能够客观证明其发现的漏洞已被利用，并辅助确定具体奖励资格。上一版计划需要详细验证提交，导致从提交到正式确认漏洞发现和奖励研究人员之间的等待时间较长。奖金仅在发布修复该漏洞的官方更新后才支付。

为满足期望，苹果实施了借鉴CTF竞赛模式的机制。在系统内部放置了一系列按类别划分的旗帜，读取这些旗帜可确认对系统的控制。苹果代表无需检查系统安全是否被破坏，因为知晓旗帜内容应能保证这一点。提交包含漏洞描述的报告后，公司进行初步验证，随后通知研究人员确认授予奖励。此外，奖金在同一结算周期内支付，而非在提供补丁时支付，这凸显了苹果公司对研究社区的信任水平。Target Flags机制已在所有苹果平台上实施：iOS、macOS、watchOS、tvOS、iPadOS、visionOS。

我们鼓励参与该项目。

来源：security.apple.com/blog/

您参与漏洞赏金计划吗？

~_secmike

评论

Jurek Szczypior
2025年10月16日 | 上午8:57

是针对0-day漏洞利用而不是漏洞吗？

回复

回复

点击此处取消回复。

**姓名 ***

**邮件（不会被公开） ***

网站

Δ