一名安全研究员发现苹果Safari浏览器存在一个高达9.8分的“高危”漏洞，该漏洞可能允许攻击者冒充用户访问其数据，甚至能够访问iCloud和iOS相机应用。尽管苹果官方将其评定为严重等级极高，并已在Safari 18.4版本中修复，但研究员最终仅获得了1000美元（约合7197元人民币）的赏金。这与苹果承诺的最高200万美元漏洞赏金以及平均4万美元的支付金额形成鲜明对比，引发了关于赏金评定标准的讨论。Macworld分析认为，用户交互可能是影响赏金金额的关键因素之一，但其他研究员也曾遭遇类似赏金与漏洞严重性不符的情况。

🎯 严重漏洞与低额赏金的矛盾：一名安全研究员发现了一个在苹果Safari浏览器中被评定为“高危”（9.8分）的通用跨站脚本（UXSS）漏洞，该漏洞允许攻击者冒充用户访问其数据，甚至可以访问iCloud和iOS相机应用。然而，该研究员最终仅获得了1000美元的赏金，与苹果公司高达200万美元的漏洞赏金计划以及平均4万美元的支付金额存在巨大差距，引起了广泛关注和质疑。

🛠️ 漏洞细节与修复情况：该漏洞被苹果官方标记为CVE-2025-30466，其严重性评分高达9.8分。苹果已于今年3月发布的Safari 18.4版本中修复了此漏洞，该修复版本也同步推送至iOS/iPadOS 18.4和macOS 15.4更新中。这表明该漏洞确实存在且已被苹果承认并处理。

⚖️ 赏金评定标准探讨：Macworld分析指出，赏金金额的差异可能与漏洞利用所需的用户交互有关，苹果在评定赏金时会将用户是否需要进行特定操作作为考量因素之一。然而，其他研究员的经历也表明，即使按照苹果的标准，获得的赏金也可能远低于预期，例如有研究员发现的本应获得5万美元赏金的漏洞，最终仅获得5000美元，这使得赏金的公正性和透明度受到质疑。

IT之家 7 月 31 日消息，据 Macworld 报道，近日，一名安全研究员在社交平台 X 上发帖称，他发现了一个苹果 Safari 浏览器中的严重漏洞，该漏洞被苹果官方评定为“高危”，严重性评分高达 9.8（满分 10 分），但最终仅获得了 1000 美元（IT之家注：现汇率约合 7197 元人民币）的漏洞赏金。

苹果公司一直鼓励安全研究人员寻找并报告其设备和应用程序中的漏洞，并为此提供最高达 200 万美元（现汇率约合 1439.4 万元人民币）的赏金。早在 2022 年，苹果就曾升级其漏洞赏金计划，并表示平均支付金额为 4 万美元（现汇率约合 28.8 万元人民币），对于“高影响”的漏洞，曾有二十次支付了六位数的赏金。例如，一名学生曾因成功劫持 Mac 和 iPhone 摄像头，获得了总计 17.5 万美元（现汇率约合 125.9 万元人民币）的奖励。

然而，此次事件似乎与苹果的说法大相径庭。这位安全研究员发现了一个名为通用跨站脚本（UXSS）的漏洞，该漏洞允许攻击者冒充用户，访问其数据。RenwaX23 展示了该漏洞可被利用来访问 iCloud 和 iOS 相机应用。

根据苹果的记录，这个漏洞被标记为 CVE-2025-30466，其严重性评分为 9.8，被归类为“高危”。苹果已在今年 3 月发布的 Safari 18.4 版本中修复了此漏洞，该版本随 iOS / iPadOS 18.4 和 macOS 15.4 更新同步推出。尽管漏洞性质严重，但 RenwaX23 获得的赏金却只有区区 1000 美元，与其严重性等级极不匹配。

对于赏金过低的原因，Macworld 分析指出，一种可能的解释是，攻击者需要诱骗用户进行某些操作才能利用该漏洞。苹果在确定赏金时，确实将用户交互作为考量标准之一。

不过，另一名曾在 X 上发帖的研究员表示，他发现的一个漏洞按照苹果的标准本应获得 5 万美元（现汇率约合 36 万元人民币）的赏金，但最终只收到了 5000 美元（现汇率约合 35985 元人民币）。