发布日期:2025-10-22 21:26 点击次数:71
近日,苹果在官网 “安全研究” 板块发布博客,宣布对「安全漏洞赏金计划」进行重大升级:最高奖金翻倍至 200 万美元(约 1426 万元人民币),叠加奖励后甚至可能超 500 万美元(约 3568 万元人民币)刷新行业记录,同时引入多项创新机制,以此激励全球安全研究人员。
新版「安全漏洞赏金计划」将于 2025 年 11 月正式生效,凸显出苹果加码安全领域的投入与决心,也体现出苹果对用户隐私与系统安全的高度重视。。
苹果漏洞悬赏计划(Apple Security Bounty Program)最早于 2019 年推出,初衷是加速 iOS/iPadOS/macOS 等系统的漏洞发现与修复。
官方表示,该计划自 2020 年向公众开放以来,苹果已向全球 800 多名研究人员支付超 3500 万美元(约 2.5 亿元人民币)奖金。
此次升级进一步聚焦复杂网络攻击威胁,强化系统安全。此次升级主要包含四方面核心变化:
1、奖金金额大幅提升
针对 “雇佣级间谍软件攻击” 级别的复杂漏洞利用链,单笔奖金从 100 万美元翻倍至 200 万美元;如果漏洞涉及绕过 “锁定模式”(Lockdown Mode)或在测试版(beta)软件中发现,叠加奖励后总金额可能超 500 万美元,创下行业纪录。
此外,无线电技术近距离攻击漏洞(最高 100 万美元)、WebKit 沙箱逃逸漏洞(最高 30 万美元)、完整绕过 macOS Gatekeeper 机制(最高 10 万美元)等,也属于高价值漏洞奖励范畴。
2、引入 Target Flags(终点旗)系统
研究人员可通过捕获系统内置 “旗帜”(如代码执行、任意读写权限等)直观展示漏洞危害,苹果验证后立即确认获奖资格,无需等待漏洞修复。
这一调整将奖金发放周期从 “修复后数月” 大幅缩短至 “下一支付周期”。
3、扩大奖励范围并提供额外支持
新增无线协议漏洞、iCloud 未授权访问(最高 100 万美元)等漏洞类别,覆盖更多攻击面。
此外,苹果还将于 2025 年 10 月 31 日起,向民间安全组织赠送 1000 部安全研究版 iPhone 17,助力防范间谍软件攻击。
4、聚焦完整漏洞利用链奖励
新版计划更侧重多漏洞组合的攻击链(匹配间谍软件攻击等现实场景),而非单个漏洞;对于实际攻击中少见的漏洞类型,苹果则下调奖金,引导研究聚焦高风险领域。
此次计划升级对提升 iOS 等系统安全性意义重大,对多数普通苹果用户而言是好事,但对依赖漏洞实现越狱、巨魔的用户来说,却是坏消息。
事实上,苹果自 2019 年该计划推出后,越来越多研究人员发现漏洞后不再公开,而是直接提交给苹果以获取高额奖励 。这一机制大幅减少越狱可用漏洞,叠加 iOS 安全架构持续升级,如今高系统版本设备越狱、巨魔愈发困难。
今年 3 月,巨魔核心开发者 opa334 明确表示,iOS 17/18 系统(尤其 A12 及以上芯片设备)已无任何可用公开内核漏洞,未来越狱可行性 “无限接近于 0”。
近年来,Tom T.、Alfie 等圈内大佬也先后离场,有人加入苹果,有人进入其他科技公司。
上月,opa334 更是透露已购入新款 iPhone 17 Pro 系列作为主力机,放弃使用 9 年的越狱老设备,正式宣告越狱时代落幕。
对此,小伙伴们怎么看?欢迎留言分享观点。