近期,一项针对其漏洞悬赏计划的重大调整引人注目。此番调整,最高奖励翻倍至200万美元,旨在激励安全研究人员揭露能够媲美商业间谍软件攻击复杂度的漏洞链。这样的高额奖励机制,无疑将推动安全社区与黑产技术发展之间的隐形对抗升级。

bug security vulnerability issue fix larry

值得注意的是,此次调整还特别涵盖了对“锁定模式”(Lockdown Mode)绕过漏洞,以及在测试版软件中发现的漏洞的额外奖励。据官方透露,总奖励金额可能超过500万美元,并声称这代表着“任何漏洞悬赏计划中提供的最高奖金”。此举不仅彰显了其对用户安全的高度重视,也反映了在日益严峻的网络安全形势下,公司愿投入巨资构建更坚固防御体系的决心。

新计划更加侧重于完整的漏洞利用链,而非孤立的单个漏洞。这符合当前网络攻击的实际情况:多数复杂攻击往往通过串联多个漏洞来实现。此外,针对远程入口向量的奖励也大幅提升,而那些在实际攻击中不常见的漏洞类别,则会获得相对较低的报酬。这种奖励机制的优化,无疑能更精准地引导安全研究人员关注那些对用户实际威胁更大的漏洞类型。

作为此次全面改革的一部分,官方引入了“目标标记”(Target Flags)机制,其灵感来源于“夺旗赛”(capture-the-flag games)。当研究人员成功利用一个漏洞时,他们可以通过捕获特定的“标志”来证明自己达到的访问级别,例如代码执行权限或任意读写能力。这种机制,为漏洞提交的有效性提供了切实可行的验证方式。

这些“目标标记”能够被官方验证,这意味着使用该机制提交报告的研究人员,一旦其捕获的“标志”得到确认,便能立即收到赏金发放通知。款项发放也会在接下来的支付周期内完成,研究人员无需再等待官方发布软件修复补丁,这大大缩短了奖励周期。此前,研究人员常常需要等待数月,直到漏洞被修复才能获得报酬。

这项更新后的计划将于2025年11月生效。同时,奖励类别也得到了扩展,例如针对“一键式WebKit沙盒逃逸”(one-click WebKit sandbox escapes)的漏洞,最高可获得30万美元奖励;而通过任何无线电技术实现的“无线近距离利用”(wireless proximity exploits),最高奖励可达100万美元。此外,macOS上针对“Gatekeeper”的完整绕过漏洞,现在价值10万美元。

所有关于此次调整的详细信息,可在官方安全研究网站上查阅。自2020年启动公共漏洞悬赏计划以来,官方已向800多名研究人员支付了超过3500万美元的赏金。这一数字不仅是其对安全社区投入的直观体现,也侧面印证了全球安全研究人员在其产品安全防护中扮演的关键角色。