漏洞奖励规则
(2026.02.03)
一、漏洞奖励标准
(一)奖励范围
本说明适用于中心接收的各类安全漏洞,漏洞仅限 0Day 漏洞及互联网没有公开 POC 且存在大量受害资产的重要 1Day 漏洞。漏洞类型包括但不限于通用漏洞、事件型漏洞、Web 应用漏洞、移动安全、IoT 安全和云平台组件漏洞。
- 黑盒方式提交漏洞需要至少 10 个互联网之中受影响案例;白盒方式则需要详细代码审计过程、准确版本号及当前最新版证明。
- 通用型弱口令漏洞不在收录范围内。
- 漏洞证明材料需提供 2 周内数据,事件型漏洞证明材料需提供 3 天内数据。
- 废弃系统、测试系统及三年内未更新或升级的老旧系统,不纳入收录范围。
- 请勿提交已完全公开漏洞;多次持续提交已公开漏洞的会予以警告处理。
(二)评估原则
- 客观公正:评估标准统一,避免主观判断影响结果;
- 多维综合:从影响范围、利用难度、危害程度、目标重要性、目标稀缺性等多个维度综合评判;
- 动态调整:根据技术发展和安全形势变化,适时更新评估标准;
- 公开透明:向漏洞提交者提供评估依据,增强信任与参与积极性。
(三)详细标准
| 等级 | 综合评分区间 | 安全币发放范围 | 说明 |
|---|---|---|---|
| 一级 | 90-100 | 5-200安全币 | 高危且影响范围明确的原创漏洞。 |
| 二级 | 70-89 | 200-1000安全币 | 影响面较广、具备可验证利用路径。 |
| 三级 | 90+ | 1000以上安全币 | 重大通用漏洞或关键基础设施事件型漏洞。 |
