蘋果將最高漏洞獎勵升至200萬美元 發現超高危資安漏洞獎勵高達500萬美元

蘋果 宣布將於11月更新旗下的Security Bounty漏洞獎勵計畫，並且大幅提高獎金 上限，成為目前產業中獎勵金額最高的資安 計畫之一。

新的制度中，針對可達成類似「傭兵級間諜軟體」攻擊 效果、且無需透過使用者互動即可入侵的漏洞 ，單一案例最高可獲得200萬美元獎勵。若研究人員發現的漏洞涉及beta測試版 本或能繞過鎖定模式 (Lockdown Mode)的防護機制，獎金最高更可達500萬美元規模。

擴大獎勵範圍，鼓勵攻防研究

除了針對零點擊攻擊 (Zero-click exploit)提高獎金外，蘋果也同步調整了其他漏洞類型的獎勵門檻。例如，一次點擊即可觸發的攻擊鏈最高可獲得100萬美元 (原為25萬美元)，需靠近裝置才能執行的攻擊則提高至100萬美元，至於需透過實體接觸，並且破解鎖定設備的攻擊獎勵則翻倍至50萬美元。

此外，若研究者能展示「網頁內容代碼執行結合沙盒逃逸」的漏洞鏈，最高可獲得30萬美元獎勵。

蘋果安全工程與架構副總裁Ivan Krstić透露，自計畫啟動以來，公司已向超過800位安全研究人員發放逾3500萬美元獎金，其中曾有多次50萬美元等級的重大獎勵案例，但最高額獎金仍屬極為罕見。

應對國家級攻擊與間諜軟體威脅

蘋果指出，目前觀察到的iOS系統層級攻擊，多半來自具國家背景或與政府合作的「傭兵級間諜軟體團體」，這類攻擊往往鎖定特定政治、記者或人權相關目標，具有高度隱蔽性與精密度。

為此，蘋果持續在系統中導入鎖定模式與記憶體完整性防護 (Memory Integrity Enforcement)等新防護架構，藉此降低記憶體破壞與遠端滲透風險。

但蘋果也坦言，隨著攻擊手法持續演進，防禦難度不斷提升。透過擴大獎勵機制，公司希望吸引更多資深安全專家針對核心攻擊面展開研究，進一步提升iOS與macOS的整體防護水平。

建立全球最嚴格的安全防線

蘋果自2019年正式開放漏洞回報獎金制度以來，已經逐步從內部測試轉向對全球安全社群全面開放。此次調整不僅是獎金金額的提升，更代表蘋果在AI時代下重新定位資安防線的決心。

面對日益複雜的數位攻擊生態，蘋果希望以高額獎勵吸引更多「白帽駭客 」投入研究，從攻擊者視角補強系統安全。對業界而言，這不只是一次企業防護強化，更是對整個資安生態鏈的實質投資。

《原文刊登於合作媒體mashdigi，聯合新聞網獲授權轉載。》