蘋果大幅削減 macOS 安全漏洞賞金 專家憂慮將加劇隱私風險與黑市交易

一則來自資安研究圈的消息，正引發蘋果用戶與業界的高度關注。知名 macOS 安全研究員 Csaba Fitzl 近日揭露，蘋果公司大幅下調了其 macOS 安全漏洞獎勵計劃的賞金金額，部分關鍵項目的獎金甚至遭「腰斬」。此舉被解讀為蘋果對 Mac 平台安全態度的重大轉變，並在 Mac 惡意軟體數量創下新高的當下，顯得格外矛盾且令人擔憂。

賞金遭大幅削減 核心隱私防護漏洞價值驟降

根據 Fitzl 在 LinkedIn 上公布的對比資料，此次賞金調整幅度驚人。其中，被視為最高風險類別之一的「完整 TCC 隱私框架繞過」漏洞，其獎金從原本的 3.05 萬美元 驟降至僅 5 千美元，縮水幅度超過八成。此外，單一 TCC 分類漏洞的賞金也從 5 千至 1 萬美元 下降至 1 千美元；macOS 沙箱逃逸漏洞的賞金則從 1 萬美元 減半至 5 千美元。

這些數據已被多方查證屬實。Fitzl 對此批評道，這種調整很難從正面解讀，其傳遞的訊息彷彿是蘋果承認「我們無法修復這些問題，而且我們不在乎了」，或者至少不願意為此付費。他更直言，這讓人感覺蘋果「不在乎隱私」，而這與該公司長期標榜的「隱私是基本人權」核心理念背道而馳。

TCC 框架是 macOS 隱私防線核心 過去曾現嚴重漏洞

所謂 TCC，全名是「透明度、同意與控制」框架，它是 macOS 中保護用戶敏感個人資料的關鍵防禦機制。該框架確保應用程式必須獲得用戶的明確授權，才能存取如檔案與資料夾、聯絡人、日曆、健康資料、攝影機、麥克風及螢幕錄製權限等核心隱私內容。一個完整的 TCC 繞過漏洞，意味著惡意應用程式能在未經用戶同意的情況下，長驅直入獲取所有這些受保護的資料。

過去，安全研究員曾發現多個嚴重的 TCC 漏洞。例如，有攻擊手法能竄改系統的同意資料庫，讓 macOS 誤以為用戶已授權從未同意的存取；另一種程式碼注入攻擊，則能讓惡意軟體「借用」合法應用程式已取得的 TCC 權限。這些漏洞都曾對用戶隱私構成實質威脅。

賞金縮水恐引發負面效應 驅使漏洞流向黑市

Fitzl 指出，相較於其他主流作業系統，專注於 macOS 平台的安全研究員本就相對稀少。如今賞金大幅縮水，很可能進一步打擊研究社群為蘋果尋找並回報漏洞的意願。更嚴重的後果是，這將大幅提高漏洞被轉售至黑市，而非依正規管道回報給蘋果的風險。在暗網上，能夠無聲無息竊取大量隱私資料的 macOS 零時差漏洞，其價值可能遠高於官方調整後的賞金。

當前，Mac 面臨的惡意軟體威脅正處於歷史高峰，從廣告軟體、勒索軟體到複雜的間諜軟體層出不窮。在此時間點反向操作，削減激勵外部專家協助強化系統安全的獎金，其決策邏輯令許多安全觀察家感到費解。此舉不僅可能削弱 macOS 的整體安全防護體質，更可能實質損害全球數以億計 Mac 用戶的隱私安全。

截至目前，蘋果公司尚未對此賞金調整政策公開作出說明或回應。此一事件後續發展，將密切牽動 macOS 安全生態的未來走向。