2025年10月10日,苹果公司在官方游戏安全研究频道发布重要公告,宣布对其漏洞悬赏计划进行全面优化升级。引人注目的是,本次更新创新性地引入了"终点旗"验证机制,为安全研究人员提供了更高效的漏洞验证方案,帮助他们直观展示漏洞利用成果并获取相应报酬。新机制将于2025年11月1日正式启用。
本次计划升级的最大亮点在于强化了对多重漏洞攻击链的技术评估和价值认可。苹果安全团队强调,当前市面上最具威胁性的网络攻击往往采用组合式漏洞利用策略,通过多个安全弱点的协同作用构建完整攻击链路。基于这一趋势,新版悬赏计划将重点评估整条漏洞链的综合技术含量,而非孤立看待单一漏洞。针对能达到"商业间谍软件级别"的高难度完整攻击链,奖励标准将提升至200万美元(折合人民币约1426万元)的天文数字。而对于涉及锁定模式或测试版系统的关键漏洞,更可获得累计最高500万美元(约人民币3565万元)的超级奖励。
为确保评估过程的客观高效,新计划特别引入了网络安全领域前沿的"终点旗"追踪系统。研究人员在漏洞挖掘过程中,只需触发系统预设的技术指标——如成功实现寄存器控制、任意内存读取或远程代码执行等核心攻击环节——就能实时获取苹果的安全评审反馈,不必再等待漫长的补丁修复周期,大大提升了奖励发放的效率。
值得注意的是,苹果在公告中透露了一个重要细节:自2020年方案实施以来,尚未收到Gatekeeper完整绕过的有效报告。为此,公司决定设立突破性奖励:首个实现无交互完全突破Gatekeeper防护的研究团队,将独享10万美元(约71.3万元人民币)专项奖金。
为持续推动安全生态建设,苹果同步宣布了一项硬件支持计划:10月31日起,将向全球1000家经过认证的民间安全实验室免费发放研究专用iPhone 17设备,旨在助力安全社区深入挖掘潜在威胁,重点加强对APT攻击和间谍软件的防御体系建设。
