在2025年全球顶级攻防安全大会Hexacon上,苹果公司(Apple)宣布将其最高安全漏洞赏金翻倍至200万美元。这使得这家库比蒂诺科技巨头成为全球对漏洞发现者最慷慨的企业,甚至通过追加奖励机制,安全专家最高可获得超过500万美元的奖金。根据苹果安全研究博客披露,自2020年以来,公司已向800多名安全研究人员发放超过3500万美元奖励,平均单笔奖金达43,750美元,并有多人累计获得50万美元酬金。
这200万美元最高赏金将授予发现与商业间谍软件攻击链同等级别复杂漏洞的研究人员。此外,突破苹果锁定模式(Lockdown Mode)安全环境、发现测试版软件漏洞的专家还可获得额外奖励,潜在总金额可突破500万美元。其他专项奖励包括:破解iCloud全局安全体系最高100万美元,开发无线电近场攻击方案最高30万美元,创建WebKit沙盒一键逃逸机制最高30万美元,以及绕过macOS系统门禁(Gatekeeper)可获得10万美元。
这并非唯一面向公众的漏洞奖励计划。AMD去年启动的项目最高奖金为3万美元;英特尔(Intel)最高提供10万美元;微软(Microsoft)当前最高赏金为25万美元,去年更因一名高中生提交20余份漏洞报告而将参与年龄下限降至13岁;Meta自2011年启动计划至今已发放2500万美元,当前最高额度为30万美元;谷歌(Google)的漏洞奖励计划始于2010年,针对其Titan M安全芯片的严重漏洞最高奖励达100万美元,2024年该公司向660名研究人员支付了1180万美元,人均奖励17,800美元。
这些丰厚奖励使漏洞挖掘成为高收益领域,对顶尖安全研究者尤其如此。对企业而言,尽管支付赏金看似成本高昂,但远比被恶意攻击者率先发现漏洞更为经济——后者可能导致企业面临声誉损害与财务损失。更严重的是,随着国家背景黑客及第三方组织越来越多地采用精密手段针对特定人物,软件漏洞甚至可能危及生命。
