蘋果公司近日宣布對其漏洞賞金計劃進行全面升級,將最高單項獎勵提升至200萬美元,重點激勵發(fā)現(xiàn)具備國家級間諜軟件攻擊特征的復(fù)雜漏洞利用鏈。這一調(diào)整使蘋果成為全球范圍內(nèi)提供最高漏洞賞金的科技企業(yè)。
根據(jù)新規(guī),若研究人員能同時發(fā)現(xiàn)繞過設(shè)備鎖定模式的漏洞以及測試版軟件中的高危缺陷,累計獎勵可能突破500萬美元。蘋果安全團隊強調(diào),此次改革特別關(guān)注現(xiàn)實攻擊場景中常見的多階段漏洞組合,而非孤立的安全缺陷。
在獎勵結(jié)構(gòu)方面,遠(yuǎn)程入侵類漏洞的賞金顯著提高,而那些在實際攻擊中極少被利用的漏洞類型則相應(yīng)降低獎勵額度。這種差異化策略旨在引導(dǎo)安全研究力量聚焦最具現(xiàn)實威脅的攻擊路徑。
計劃引入的"目標(biāo)標(biāo)志"驗證機制成為重要創(chuàng)新。該機制借鑒網(wǎng)絡(luò)安全競賽中的"奪旗"模式,研究人員在成功利用漏洞后,可通過獲取特定數(shù)字標(biāo)識來證明攻擊效果。這些標(biāo)識包含精確的權(quán)限獲取信息,如代碼執(zhí)行權(quán)限或內(nèi)存任意讀寫能力等關(guān)鍵指標(biāo)。
蘋果建立的自動化驗證系統(tǒng)可實時確認(rèn)標(biāo)志有效性,通過審核的研究人員將立即收到賞金通知。與傳統(tǒng)流程相比,新機制不再要求等待軟件更新發(fā)布,大幅縮短了獎勵發(fā)放周期。此前研究人員常需數(shù)月才能獲得報酬,現(xiàn)在可在確認(rèn)漏洞有效性后即時進入付款流程。
此次改革將于2025年11月正式實施,蘋果安全團隊表示這將顯著提升iOS、macOS等系統(tǒng)的安全防御能力。通過經(jīng)濟激勵與技術(shù)創(chuàng)新相結(jié)合,公司期望構(gòu)建更主動的安全研究生態(tài),在潛在攻擊發(fā)生前構(gòu)建防御體系。
