苹果安全赏金计划升级 - 苹果公司宣布对其安全赏金计划进行重大升级，将最高基础奖金翻倍至200万美元，这是目前所有已知赏金计划中金额最高的[1][2][3] - 对于能够模拟复杂商业监控软件攻击的特殊漏洞，通过额外奖金叠加，最高奖励金额可达500万美元[1][9] - 此次计划更新将于2025年11月生效，届时将在Apple Security Research网站上公布完整的赏金类别和细则[13] 奖金历史与总额 - 苹果的漏洞赏金计划启动近十年，最高奖金从2016年的20万美元提升至2019年的100万美元，此次再次大幅提升[6] - 截至目前，该计划已向800多名安全研究人员支付了超过3500万美元的奖励[7] 具体奖金类别调整 - 零点击链攻击：无需用户交互的远程攻击，最高奖金从100万美元提升至200万美元[11] - 一键链攻击：通过一键用户交互的远程攻击，最高奖金从25万美元提升至100万美元[11] - 无线接近攻击：需要物理接近设备的攻击，最高奖金从25万美元提升至100万美元[10][11] - 物理设备访问攻击：需要物理访问锁定设备的攻击，最高奖金从25万美元提升至50万美元[11] - 应用沙盒逃逸攻击：从应用沙盒攻击SPTM绕过，最高奖金从15万美元提升至50万美元[11] - 特定高难度漏洞：彻底绕过Gatekeeper的悬赏金额提升至10万美元，实现未经授权的iCloud访问的悬赏金额提升至100万美元[10] - 新增攻击面覆盖：成功发现一键式WebKit沙盒逃逸可获30万美元奖励，发现任何无线电实现的无线近距离漏洞奖励高达100万美元[10] 计划新机制与配套措施 - 推出“目标标记”新机制，研究人员提交带有此标记的报告可加速获得奖励，在报告被接收和验证后即可处理，无需等待修复发布[11][12] - 苹果在2022年设立了1000万美元的网络安全资助金，用于支持民间社会组织调查高度定向的雇佣监控软件攻击[13] - 随着iPhone 17推出内存完整性强制保护功能，苹果宣布将向面临高风险的民间社会组织提供一千部iPhone 17，以增强其抵御商业监控软件攻击的能力[13]