奖金最高200万美元！苹果重金悬赏iOS等系统安全漏洞

wakeman

 
苹果近日宣布，对其安全奖励计划（Bug Bounty Program） 进行重大升级，将发现并报告顶级漏洞的最高奖励金额提升至 200 万美元，相比此前直接翻倍。此举旨在吸引全球安全研究人员，共同应对日益复杂的网络攻击威胁。

此次调整不仅提高了基础奖励金额，还引入了额外奖金机制。研究人员如果发现的漏洞能够绕过苹果的「锁定模式」（Lockdown Mode），或是在测试版（beta）软件中被捕获，还可获得额外奖励。

苹果表示，在叠加各类奖金后，单次支付的总金额可能超过 500 万美元，并称这是目前所有同类奖励计划中最高的价码。

苹果此次更新的核心变化在于，奖励重点从单个漏洞转向了完整攻击链的挖掘。现实中，复杂的网络攻击往往通过串联多个漏洞发起，形成一系列组合攻击。因此，苹果大幅提高了远程攻击漏洞的奖金，而那些在实际攻击中不常见的漏洞类型则相应降低了奖励金额。

为提高漏洞验证效率，苹果还引入了全新的 「目标旗帜」（Target Flags） 机制。这一设计灵感来源于网络安全竞赛中的 「夺旗赛」，研究人员在成功利用漏洞并达到特定权限（如执行代码或任意读写数据）时，可以捕获一个「旗帜」。
该旗帜将由苹果快速验证，一旦通过，研究人员会立即收到获奖通知，奖金也将在下一个支付周期发放。相比以往需要等待数月直到苹果发布补丁才能拿到奖金的流程，这一机制极大缩短了奖励周期。

除了流程优化，苹果还扩大了奖励范围，并提升了某些高价值漏洞的奖金。例如：

• [color=color(srgb 0.32 0.32 0.32 / 0.9)]• 绕过 WebKit 沙盒的漏洞：最高奖励提升至 30 万美元；
  
• [color=color(srgb 0.32 0.32 0.32 / 0.9)]• 通过无线电技术实现的近距离漏洞攻击：最高可获 100 万美元；
  
• [color=color(srgb 0.32 0.32 0.32 / 0.9)]• 完全绕过 macOS「门禁」（Gatekeeper）安全机制的漏洞：奖励提升至 10 万美元。
  

苹果希望通过这些高额奖励，吸引更多顶尖安全研究人员提交关键漏洞，进一步强化系统安全。
这项更新的奖励计划将从 2025 年 11 月起正式生效。自从 2020 年起，苹果将安全奖励计划向公众开放以来，已向 800 多名研究人员支付了超过 3500 万美元的奖金。

通过数百万美元的悬赏换取数十亿用户的安全，这无疑是一笔划算的买卖，也再次表明了苹果对用户隐私和系统安全的高度重视，而高安全性，也一直是 iOS 等系统的核心竞争力之一。
 

superzhzh

200万刀一个漏洞相当于给黑客发年终奖，500万总奖像极了买断整个黑产链条 中年程序员表示这波苹果整活挺狠 目标旗帜机制比传统补丁流程快多了至少不用等半年修 Bug

rgf

看看

ugnx888

都够狠的？

pycome

黑客如果发现漏洞，利用一下估计不只赚200万。

52pj

安全