苹果公司近日宣布对其安全赏金计划进行重大升级,最高基础奖金直接翻倍至200万美元,这一金额不仅刷新了行业纪录,更成为当前全球范围内已知的最高安全奖励标准。若发现特殊漏洞,研究人员最高可获得500万美元的奖金,显示出苹果在提升系统安全性方面的决心。
自十年前启动漏洞赏金计划以来,苹果始终以高额奖金吸引全球安全研究人员。2016年,最高奖金为20万美元;2019年,这一数字提升至100万美元。截至目前,苹果已向800多名研究人员支付超过3500万美元的奖励。苹果安全工程与架构副总裁伊万·科尔斯蒂奇表示,设立数百万美元奖金的目的是让顶尖研究人员的技术能力和时间投入得到充分回报,尤其是那些能破解复杂威胁、模拟商业监控软件攻击手法的研究者。
此次升级中,苹果不仅将最高基础奖金翻倍,还为发现绕过锁定模式和测试版软件漏洞的研究人员提供额外奖励,使最高金额突破500万美元。同时,其他多个漏洞类别的奖励标准也大幅上调。例如,彻底绕过Gatekeeper和实现未经授权的iCloud访问的悬赏金额分别提升至10万美元和100万美元。苹果扩展了赏金类别,成功发现一键式WebKit沙盒逃逸可获30万美元奖励,发现任何无线电实现的无线近距离漏洞则奖励高达100万美元。
为提升奖励效率,苹果推出了目标标记Target Flags机制。研究人员可通过这一新方式客观证明某些顶级赏金类别(如远程代码执行、透明度、同意和控制绕过)的可利用性,从而帮助判定奖励资格。提交带有Target Flags报告的研究人员将获得加速奖励,研究被接收和验证后即可立即处理奖励,无需等待修复发布。
苹果在安全领域的投入不仅限于赏金计划。2022年,公司设立了1000万美元的网络安全资助金,用于支持民间社会组织调查高度定向的雇佣监控软件攻击。上个月,随着iPhone17的推出,苹果新增了内存完整性强制保护功能,旨在增强设备抵御常见软件漏洞的能力。为此,苹果宣布向民间社会组织提供1000部iPhone17,分配给面临高风险的特殊群体,尤其是可能成为商业监控软件攻击目标的成员。
苹果表示,此次安全赏金计划更新将于2025年11月生效,届时将在Apple Security Research网站上完整公布新增及扩展的赏金类别、奖励标准和奖金细则。
