小米安全中心漏洞奖励规则 V9.0

小米安全中心漏洞奖励规则 V9.0规章制度

小妞律师 2025-06-05 05:09

2025年5月发布

版本号	修订内容	发布日期
V9.0	奖励升级；优化漏洞评分标准；新增手机守护计划奖励细则	2025-05-09
V8.0	优化漏洞评分标准；完善处理细则；增加汽车终端漏洞评分细节；	2024-05-08
V7.0	奖励全面升级；优化漏洞评分标准	2023-08-03
V6.0	奖励全面升级；优化漏洞评分体系；完善处理细则	2021-08-10
V5.0	新增团队奖励评选体系；完善月度、季度奖励计划	2021-04-26
V4.0	新增季度奖励评选体系；完善月度、年度奖励计划；新增优质漏洞奖励计划；完善威胁情报奖励；新增FQA	2020-01-01
V3.0	优化漏洞评分体系；完善处理细则；新增月度奖励；完善IoT安全漏洞评分标准	2019-08-13
V2.0	奖励全面升级；新增【严重】级别漏洞评分标准；新增移动安全漏洞标准	2016-08-11
V1.0	发布第一版	2014-09-18

一、基本原则

1. 小米安全中心希望通过白帽子提交漏洞的方式加强自身业务安全及业界合作，非常欢迎广大用户向我们反馈小米产品和业务的安全漏洞，我们承诺：每一份报告我们都会有专人进行评估和跟进，会给予白帽子与之匹配的利益。

2. 小米反对和谴责以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客行为，包括但不仅限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、非授权获取系统（业务）数据、窃取用户数据、恶意传播漏洞或数据等。如有上述行为，小米将有权追究其法律责任。具体测试规范请参考：SRC行业安全测试规范。

3. 如果您对本流程有任何建议，欢迎发送邮件至security@xiaomi.com向我们反馈，建议一经采纳，MiSRC会送出专属礼品一份。

二、漏洞提交及处理流程

2.1 提交流程

2.2 漏洞争议及解决方案

在安全漏洞/情报的处理过程中，如果报告者对处理流程、等级评定有异议，可以通过漏洞详情对话框留言反馈，或者通过微信：youlili_mumu 沟通。小米安全中心将根据漏洞/情报报告者利益优先的原则进行处理，必要时可引入外部安全专家共同裁定。

2.3 漏洞通用评分规则

1. 同一漏洞，首位报告者计贡献值，其他报告被视为不符合规则，不予确认。内部已知漏洞依据内部告警时间为准，告警处理需要一定时间。

2. 在漏洞未修复之前，未经允许公开漏洞将不予确认。

3. 部分从技术理论上可行但无法深入证明的报告，小米安全工作人员会进行内部测试来确认漏洞的潜在危害。但因条件因素等影响，双方均无法证明漏洞危害的情况，由报告目前能证明的危害进行评分。

4. 针对通用型漏洞，从官方发布安全公告开始计算，我们会有相应的“锁定时间”，在这个时间里，我们会对业务进行排查、修复及补丁推送。在此期间内提交的漏洞，我们将不再予以奖励。锁定时间后，如果仍旧发现了相关的漏洞，并且可以通过PoC验证实际影响业务的，我们会按照漏洞评审规则进行评定和奖励。客户端：锁定时间为3个月，评分一般不高于中危。服务端：锁定时间为1个月，评分一般不高于中危。

5. 由同一个漏洞源产生的多个漏洞计漏洞数量为一个，例如；服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题。如发现多个，统一提交到一个漏洞报告中若提交多个，只有第一个获得奖励，其他将做忽略处理。

6. 漏洞报告需尽量包含详细的漏洞描述、漏洞复现的 poc、以及漏洞危害证明，以加快技术人员处理速度。对于漏洞报告过于简单、无任何危害证明的报告将忽略或降分处理。

7. 短信轰炸的定义：单一 IP/用户半小时内定向发送超过 50 条后无任何限制。使用短信接口不受限制向不同手机发送 1 条短信的问题将做忽略处理。

8. 关于合作厂商的漏洞，目前只收取与小米业务方有关的漏洞，我们会参考实际危害和影响做具体评级操作。对于与小米业务方无关的合作厂商漏洞，我们会向漏洞提交者表示感谢，并积极传达给合作厂商，合作厂商的漏洞不计入额外奖励当中。

9. 各漏洞的最终审核情况由漏洞利用难易程度、危害大小及影响范围综合考虑决定。

10. 金融相关漏洞：金融相关漏洞需要物流单号，虚拟商品id，金额到账截图等实际证明方式。

11. 逻辑漏洞：利用场景单一（仅限自身证明），利用凭证复杂（如8位以上无规则用户id或单号id等）的逻辑类型相关漏洞不接收。

12. 同一个api的多个参数存在相同类型漏洞算做同一问题，其他参数再单独提交漏洞将做忽略处理。

2.4 注意事项

1. 请您不要在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞。

2. 请您尽量避免访问任何存储在我司信息系统内的数据，除非访问该数据为验证安全漏洞存在的必要步骤，在测试过程中，如发现公司极敏感信息，请立即停止测试并联系我们。

3. 请您不要在任何情况下泄露在漏洞测试过程中所获知的任何数据。

4. 在收到我司的明确书面授权之前，请不要公开披露或提供关于我司产品或服务安全漏洞的任何细节信息。

5. 如您在测试过程中无法确定能否继续进行测试，请与我们联系。

6. 未经允许请您不要在任何情况下发布可被利用的漏洞poc。

三、MiSRC奖励构成

小米安全中心奖励由【漏洞/情报基础奖励】、【优质报告附加奖励】、【特殊漏洞/情报贡献奖】、【平台特色奖励】4个部分构成，并且会根据行业情况以及各位白帽的建议不断升级完善。

3.1 漏洞/情报基础奖励

基础奖励详见第四章。

3.2 优质报告附加奖励

若提交的报告描述详细、内容完整、思路新颖，将可能获得10-200贡献币的额外奖励，即100-2000RMB，报告需包含标题+漏洞描述+漏洞证明+修复方案。

【标题】：明确漏洞影响的域名及产品名称以及漏洞类型

【漏洞描述】：详细的漏洞描述，漏洞涉及的url、漏洞参数等

【漏洞证明】：漏洞影响说明以及漏洞利用证明，额外附加漏洞证明视频

【修复方案】：针对报告的漏洞，提供一条及以上可执行的修复建议

3.3 特殊漏洞/情报贡献奖

对于涉及到严重敏感信息泄露、直接造成小米核心业务拒绝服务、远程获取核心系统权限等影响巨大且对小米安全有特殊帮助的漏洞/情报，经小米安全中心核验后，将给予1k-5w的额外奖励。

3.4 平台特色奖励

小米安全中心会不定期推出月度奖励、季度奖励、年度奖励以及各种活动奖励，奖励详情请关注【小米安全中心】微信公众号或者MiSRC官网查看。

3.4.1 【月度奖励】

奖励金额：第一名额外奖励￥2000、第二名奖励￥1500、第三名额外奖励￥1000。
参选条件：当月贡献值超过600分且贡献榜排名前3名。
规则说明：如在当月度结束后未有达到规则的安全专家，奖励名额将作废。

3.4.2【季度奖励】

3.4.3【年度奖励】

MiSRC新春大礼包，每年的获取规则会在【小米安全中心】微信公众号公布。
年度特定高质量漏洞提交者将受邀参加年底白帽颁奖典礼，并有机会获得额外丰厚现金奖励、荣誉纪念品及专属荣誉奖杯。
榜单前10名且年度贡献值≥3000的白帽子将受邀参加年底白帽颁奖典礼，并可额外获得丰厚现金奖励以及荣誉纪念品及专属荣誉奖杯。

四、安全漏洞评分细则

4.1 漏洞基础评分规则

根据漏洞危害程度将评级分为严重、高危、中危、低危、忽略，共五个等级，每个等级涵盖的漏洞以及评分标准见4.2、4.3、4.4、4.5。
本评分规则仅作为参考，漏洞的最终评分会按照漏洞的实际利用难度、业务特点、漏洞的影响范围、报告的详细程度、复测过程中上报者的配合程度等多维度综合评分，小米安全中心拥有最终解释权。

4.2 WEB 漏洞评分细节

4.2.1 业务等级划分

核心业务：小米账号、小米云服务、米家服务端、小米汽车、小米金融、小米商城、有品等。

一般业务：如米聊、多看、小米社区、小米娱乐、小米游戏、小米直供零售等。

边缘业务：

1. 一些对业务无实际影响的运维监控、测试页、测试环境、本身缺少访问权限的开源系统等（根据名称判断疑似与小米有关的业务是否确认需要内部评定是否对小米有实际影响）。

2. 部分第三方业务，如智米、紫米、汉图等。

3. 部分小米合作投资的业务，如小米超神、创米等。小米安全中心会与厂商联系，友情转达漏洞情况。如厂商确认漏洞有价值，小米安全中心会为白帽子争取漏洞奖励，由第三方公司发放。

非小米资产：米筹、小米彩票、黑鲨、省钱购、米灵、小蚁、小米运动（华米-生态链）。

注：该内容会随业务实际情况不断更新，敬请关注。

4.2.2 评分细则

1. 敏感信息定义

（通常三个及以上字段组合才构成重要敏感数据，如果只泄漏其中某项，无法定位利用情况，则不算敏感信息）。

业务类数据：业务身份凭据、高权限 AK&SK/token、可直接连接核心业务服务器/数据账号密码等；收货人姓名、手机号、详细地址、身份证信息、购买商品、银行卡号等；
公司类数据：员工姓名、员工身份证号、员工账号密码、员工个人电话、薪资、部门架构、联系方式、职级、绩效；业务经营管理数据、核心技术资产数据等；
用户类数据：真实姓名、身份证号、联系方式（手机号、邮箱、社交账号）、住址、照片、银行卡号、完整交易信息（含详细购买记录、资金流水等）、医疗信息、账号密码等。

2. 敏感数据泄露量级

巨量：大于10万条
大量：大于10000条
少量：大于1000条

3. 详细评分细则

漏洞级别	漏洞详情	奖励标准（贡献币）
严重	直接获取核心系统权限，可直接危害内网的漏洞，包括但不限于：命令执行、远程溢出等漏洞；能够获取巨量小米用户核心数据或涉及商业机密合同的漏洞包括但不限于核心DB的SQL注入；涉及支付相关漏洞包括但不限于：严重的逻辑错误、能够巨量获取利益造成公司、用户损失的漏洞；核心系统的严重逻辑漏洞，包括但不限于任意账号登录、影响巨大的越权漏洞（获取巨量敏感信息、交易或聊天场景批量伪造身份发送信息等）；危害小米账户体系的漏洞：如无交互任意小米账户登录可获取用户详尽信息、登入小米云控制手机、用户支付等权限。	核心业务： 600~1500 一般业务： 300~500 边缘业务： 80~150
高危	能够获取大量用户敏感信息的漏洞，包括但不限于非核心站点的 SQL 注入；个别活动、业务的逻辑漏洞如刷积分、刷红包，确实可获取大量利益的漏洞等；源代码压缩包泄漏、硬编码密码等问题引起的公司及业务大量敏感信息泄露风险；弱口令或认证信息绕过进入后台，且业务中有实际性权限或敏感信息代码泄露，可实际操作线上业务，可造成较大危害的漏洞；可 SSRF 内网，支持多种协议，可探测内网服务的漏洞；特定场景下或通过一些用户交互才能登录个别小米账户的漏洞且具备实际用户操作权限；可获取核心cookie等敏感信息或能造成广泛传播的存储xss。	核心业务：300~500 一般业务：100~200 边缘业务：10~30
中危	少量或无敏感信息泄漏的SQL注入；无回显且无法证明实际危害的ssrf漏洞；需交互方可影响用户的漏洞，包括但不限于存储型xss、重要敏感操作的CSRF；具有破坏性的越权漏洞，如编辑、删除评论、更改功能属性等；文件包含、目录遍历、能查看到少量敏感信息且无法进一步利用的漏洞；代码泄露，有较敏感信息但未成功利用的漏洞，包括但不仅限于Github等代码平台中涉及小米的敏感信息泄漏；文件上传只能造成钓鱼、（重要业务）存储 xss 危害的漏洞；不受浏览器安全策略限制的 DOMXSS漏洞；需要强交互、多步交互（两步或两步以上）才能对用户有较大影响的漏洞；域名指向错误可被攻击者任意劫持；逻辑漏洞，操作涉及用户或系统的敏感信息但规模无法扩大，包括但不限于只能少量遍历的情况。	核心业务：50~80 一般业务：10~40 边缘业务：1~5
低危	在特定情况下才能获取用户信息的漏洞，包括但不限于反射型xss，Csrf，临时文件遍历，Url 跳转，短信轰炸轻微信息泄露；包括但不限于调试信息、Phpinfo、SVN文件泄露、github员工内网存活的测试服务器账号密码等有一定敏感信息的机器日志文件；确认为漏洞，但有较大难度的漏洞；应用层缺陷导致的拒绝服务类攻击；逻辑漏洞，但操作无法获取或只能获取极少量敏感信息的情况；（极少量：100条以下）。	核心/一般业务：5~10 边缘业务：1~5
忽略	无实际危害的问题。包括但不仅限于产品功能缺陷、页面乱码、样式混乱、不泄露敏感信息的报错；不能重现的漏洞。包括但不仅限于经小米安全确认无法重现的漏洞；无法利用或者没有利用价值的漏洞。包括但不仅限于无意义的目录遍历、401基础认证钓鱼、有编码缺陷但无法利用的问题、Self-XSS、无敏感操作的CSRF、无意义的异常信息泄露、无实际危害证明的扫描器结果、无敏感信息的 jsonhijacking、仅有 js 与 img 等的打包文件、一般信息的 logcat 等；不能直接体现漏洞的其他问题。包括但不仅限于纯属用户猜测的问题、不包含敏感信息的测试页面等； SSRF 漏洞无法获取内网的相关服务器信息，只是简单的访问 dnslog，无任何影响；非核心客户端本地拒绝服务漏洞。包括但不仅限于组件参数未验证导致的拒绝服务漏洞； Zookeeper、memcache、redis、普通的运维管理系统等未授权访问，没有数据或者其他可利用的地方，可以忽略内部已知漏洞，审核员会给出相关提案号以及部分漏洞信息证明；文本注入无实际影响的slowhttptest；需要较大成本的ddos攻击； Web端的中间人劫持类问题；第三方工具或在线平台的扫描结果不能直接作为漏洞证明，无法提供具体的漏洞描述、验证方式和危害的仅报告站点使用HTTP协议而非HTTPS协议不被认为是安全问题；仅报告端口开放而无法提供利用手段，如开放MySQL服务等；无法再次复现的漏洞；违反安全设计原则但无法给出利用手段的，如密码策略。可爆破账号密码，但是未成功爆破出账号密码的；登出会话后未失效的，包括但不限于token未失效，session未失效；无利用成本的邮箱轰炸；静态文件存储的pdfxss；百度地图ak信息； actuator无实际影响的开放路径如prometheus等；不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重现、未经验证、无意义的扫描报告的问题；正在专项排查中的漏洞，如某系统、某类型漏洞内部展开专项治理时暂不收取，具体情况以平台审核人员回复为准。	/

注：为方便大家测试SSRF漏洞，MiSRC为白帽子提供了SSRF漏洞验证方式：

直接请求https://ssrf.dun.mi.com/ssrf/hacker，“hacker“字段可自定义，用于区分：

1. 若有回显，报告中提交回显完整页面截图（含文本长度，分完全回显/部分回显）。

2. 若无回显，报告中告知自定义字段内容以及访问时间，MiSRC方会进行验证。

4.2.3 标准漏洞报告要求

标准漏洞报告应包含

漏洞描述；

危害描述；

域名；

完整url；

数据包；

清晰的证明截图；

漏洞报告注意事项

漏洞报告需包含上述所有信息，否则可能无法复现，会被忽略。
漏洞中涉及到的 POC，需要用户提供文本型的 raw 包（至少要包含接口地址）。
不能将不同类型、不同业务线的漏洞在同一漏洞报告中提交。
上传附件主要针对于需要上传利用脚本、利用视频等资源，如果漏洞详情通过 word 等文件格式无法描述清楚，可以上传附件进行补充。

4.3 移动端业务评分细节

4.3.1 移动端业务等级划分

核心业务：最新版 HyperOS 预装的米系 APP（定制版输入法、蜻蜓FM等合作应用除外）、 HyperO自身的漏洞（不包括第三方组件、安卓原生环境的漏洞）、小米汽车APP。

一般业务：单发 APP，非预装但是可以下载的米系 APP（包括预装的定制版输入法、蜻蜓FM等与三方合作应用）。

边缘业务：特别版业务 APP。

对公开的漏洞：漏洞的技术细节（如：POC等信息）已经公开，包括但不限于网站、自媒体、邮件组、公开演讲、即时聊天群等，并且可以通过PoC验证实际影响业务的，我们会按照漏洞评审规则进行评定和奖励。客户端：锁定时间为3个月，超过锁定期外仍未修复的漏洞和补丁，最终评分一般不高于中危。

通过网络劫持造成危害的漏洞一般会进行降级处理。

注：客户端与服务端交互的漏洞符合 WEB 层业务的按 WEB 层的评分标准。

4.3.2 移动端漏洞报告要求

1. 测试机型，HyperOS / MIUI 系统版本以及安全补丁日期（使用命令：adb shell getprop | grep -E "ro.build.fingerprint|ro.build.version.security_patch"）

2. 漏洞涉及 APP 的包名，版本号（请用应用商店升级最新版测试）

3. 漏洞分析的详细报告，包括必要的调用链描述+截图

4. 验证漏洞的 POC，或 EXP 的源码 + APK

5. 存在多交互场景或者具备一定演示效果的，上传录制视频

（漏洞报告详细程度将直接影响漏洞评分）

4.3.3 评分细则

漏洞级别	漏洞详情	奖励标准（贡献币）
严重	绕过 Secure Boot 远程发起永久性拒绝服务攻击，导致设备无法再使用，需要刷机、双清才可恢复；获取 ROOT 权限；在特权进程中远程执行任意代码；在 TEE 中执行任意代码；未经授权访问受 TEE 保护的数据（仅限指纹、闪付卡、人脸等能够造成用户财产损失的数据定级为严重）；远程控制手机(需根据利用门槛和实际危害综合评估)；远程静默安装任意应用（用户完全无感知，安装时有明确弹框或提示某应用下载，即用户可明确感知下载安装行为并不属于静默安装，通知栏提示下载内容将会降级到高危）。	核心业务：2500~12000 一般业务：500~2000 边缘业务：200~500
高危	远程可获取用户相关敏感信息 (照片、通讯录、音频等)；远程在普通应用进程中执行任意代码；远程访问受保护的数据（仅限于特权进程访问的数据）；通过本地可在特权应用、TCB 或 ICE 中执行任意代码；系统级别的锁屏绕过（需测试最新开发版，且具备通用可复现）；本地发起的持续性拒绝服务攻击，导致设备无法再使用，需要刷机、双清才可恢复；远程读取受害 APP 沙箱任意数据；无需用户交互即可远程开启或关闭通常由用户才能发起的功能，或需要获得用户许可后方可使用的功能；绕过运营商制式限制；绕过设备保护功能（如：手机找回）；本地静默安装任意应用（要求用户完全无感知，安装时有明确弹框或提示某应用下载，即用户可明确感知下载安装行为并不属于静默安装）。	核心业务：600~3000 一般业务：300~600 边缘业务：60~100
中危	远程发起暂时性拒绝服务攻击，可导致系统挂起或设备重启；接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞；本地可读取受害 APP 沙箱任意数据； APP 级别的锁屏绕过；本地绕过安全设置修改的交互要求；本地无权限可获取用户相关的敏感信息；本地普通应用执行任意代码；本地打开或关闭通常需要用户启动或用户许可的功能；客户端未实施有效的证书校验，泄露用户身份凭证。	核心业务： 150~400 一般业务： 60~150 边缘业务：10~20
低危	需要用户多次(大于两次)交互才能触发的漏洞； APP 升级功能的劫持类漏洞；需要物理接触，特定场景下，用户配合的情况下才能造成的信息安全相关漏洞；获取非用户相关的敏感信息；浏览器地址栏欺骗类攻击；远程发起暂时性拒绝服务攻击，导致应用崩溃重启；通过本地在受限进程中任意执行代码；影响较小安全设计/逻辑缺陷。	核心业务：30~60 一般业务：10~30 边缘业务：1~10
忽略	代码与数据保护类：缺少证书绑定；受TLS保护下的URL/request body中敏感数据传输；用户数据未经加密存储于外部存储设备中（带有敏感信息的APP日志以及已经承诺了加密存储的用户数据除外； APP缺少代码混淆保护； APK可以被重打包； APK中含有硬编码或可恢复的秘钥；受到APP私有目录保护的敏感数据；安卓APP中缺乏二进制保护控制； APP设置allowBackup为True。低影响的DOS：攻击向导出组件发送畸形的intents，且仅能导致APP崩溃；过度申请资源导致的浏览器崩溃；用户通过重启应用就可以解决的本地DoS攻击；暂时性 Framework 重启。其他类： app在获取了相应权限后，能够获取到权限所允许范围内的数据内容；使用诸如但不限于Frida/ Appmon等工具进行的运行时黑客攻击（只有在越狱环境中才有可能进行攻击）；具有较低欺骗性的钓鱼攻击；报告过于简单，无法根据报告复现的漏洞；利用条件极苛刻，攻击成本较高，造成的影响/危害较小。	/

4.3.4 守护计划奖励

● 漏洞利用要求：

接受/限定机型为 Xiaomi 15 / 15 pro / 15 Ultra，更新到官方最新稳定版 ROM

浏览器须通过小米应用商店更新到最新版本

须保持默认的系统设置或是正常使用手机的设置，无任何特殊改动

不能申请和使用 Accessibility 权限

外界未曝光细节与 PoC 的 0day 漏洞（Chrome buglist 内公开漏洞不在奖励计划内）

所有漏洞（包括 root 权限提升）在所有场景中只会判定有效一次，在其他场景或利用链中再次被使用，将被视为漏洞重复

● 仅对以下类型的漏洞进行特定奖励：

远程批量将设备变砖，设备无法再使用，需要刷机、双清才可恢复	20万
远程实现system进程任意代码执行	20万
利用基带漏洞向操作系统注入并执行恶意代码	20万
通过近场通信自身漏洞执行任意代码	20万
远程实现普通用户进程任意代码执行	10万
远程读取APP沙箱任意文件	10万
绕过Android系统权限申请机制，自动获取麦克风和摄像头权限	10万
系统级别锁屏密码绕过，打开手机	10万
浏览器沙箱绕过实现任意代码执行	10万
远程获取用户手机端个人敏感数据文件（照片、录音、拍摄的视频等）	10万

● 挑战项：通过原创 0day 漏洞在任意场景可以获取小米 * 完整 root 权限（官方 root 工具除外），直接奖励 100,000 元奖金，但通过 gki 等三方基础组件引入的漏洞除外。

● 最终奖励金额 = （基础奖励 - 重复场景扣减）x 交互条件奖励折算系数 x 漏洞影响削弱奖励折算系数 + 挑战项奖金（成功达成前提）

● 交互条件奖励折算说明

如提交的漏洞需要诱导用户点击链接、钓鱼邮件等行为才能触发，则需要按照下列要求对奖励进行折算。

交互条件分为无交互、弱交互和强交互三种类型，具体说明如下：

用户交互条件	奖励折算系数	场景定义	典型例子
无交互	1	攻击者不实际接触或操作目标手机且被攻击手机用户无任何感知	消息推送、远程攻击
弱交互	0.7	攻击者不实际接触或操作目标手机、攻击者欺骗诱导用户操作（一次以内）	诱导用户点击链接（One Click）或访问特定页面、钓鱼邮件或短信、网络中间人
强交互	0.4	需要被攻击用户反复配合或主动提供用户信息	需要用户点击两次或两次以上

● 漏洞影响消弱奖励折算说明

受漏洞的利用难度、利用条件、使用场景和影响范围等因素的影响，尽管提报漏洞在理论上具有一定危害程度，但在较难的利用难度、苛刻的利用条件或有限的利用场景下，最终实际可产生的危害影响和理论上相比有一定的消弱时，将按照漏洞实际影响的情况。

影响减弱因素	奖励折算系数	场景定义	典型例子
无减弱	1	漏洞成功触发且无额外条件	-
漏洞影响局限	0.7-0.5	漏洞造成影响有限	只能静默安装已上架APP
利用条件苛刻	0.4-0.2	需要一定的利用条件、有一定利用难度、非通用漏洞	手机除默认设置外需要额外的配置例如开启手机分身、非通用漏洞仅影响特定版本或特定机型、有限度代码执行
利用条件极苛刻	0.1	漏洞利用条件极其苛刻、利用难度较大、影响范围较小	需要已获得root权限、影响范围较小

4.3.5 漏洞规则条款中涉及的名词说明：

远程：指在不安装应用或不实际接触设备的情况下利用漏洞实施攻击，包括通过网页浏览、阅读短信彩信、收发邮件、文件下载、无线网络通信(不包括通信距离小于10厘米的短距通信)等方式。

本地：指利用漏洞实施攻击需要在受害系统中安装应用，或者需要物理接触设备及通信距离小于10厘米的短距通信。

受限进程：比普通应用进程受到更严格的权限约束，或运行在高度受限的 SElinux(或SEAndroid) 域中执行的进程。

普通应用进程：指在 SELinux (或 SEAndroid )的 untrusted_app 或 platform_app 域中运行的应用或进程，例如第三方应用进程或内置的无 system 级别权限的应用进程。

特权进程：指在 SELinux (或 SEAndroid )的 system_app 域中运行的应用或进程，也包括以 system 级别的权限运行的进程和 root 权限进程。

TCB: TCB 是 Trusted Computing Base 的简称，指的是计算机内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务，包括但不限于部分内核及驱动程序，或者等同于内核的用户服务，例如 init、vold 等。

TEE: TEE 是 Trusted Execution Environment 的简称，与设备上的安卓系统并存，主要用来给安卓提供可信计算、可信存储等安全服务的运行环境。

ICE: ICE 是 Independent Computing Environment 的简称，指功能业务相对聚焦，且拥有独立计算单元、固件程序及简易 OS 的组合体，例如基带 Modem。

其他说明：

由于各机型发版节奏不同，framework 类型漏洞需要经内部验证是否为未知问题；
framework 漏洞应在最新 Rom 版本上稳定复现，仅影响低版本 Rom 的漏洞将视具体情况确认或忽略；
报告中应该提供有效的 POC/EXP与验证视频及漏洞分析，缺乏详细分析或完整 POC 的报告将会影响最终奖励；
报告中需要提供有效的漏洞证明（POC/EXP），仅提供主观表达未证明其实际危害的报告将不会确认，或提供的POC/EXP未能够达到所述危害（低于所描述危害），报告定级/奖励将会有所降级（若证明对应的漏洞危害可能会对业务产生影响等特殊情况，可沟通说明情况，此情况下漏洞不会降级）；
下线产品或即将下线产品的安全/隐私漏洞将会做忽略处理；
无法稳定复现的漏洞将会被降级；
只影响特定机型的漏洞将会视具体危害评估是否降级。

4.4 智能硬件端评分细节

4.4.1 业务等级划分

核心业务：流行的视频智能硬件、小米路由器和汽车 IoT 配件等可能对用户隐私、人身安全、财产安全产生影响的智能硬件。

一般业务：如小米收音机、智能灯等小家电智能硬件漏洞。

注：

1. 受漏洞的利用难度、利用条件、影响范围、使用场景等因素限制，当漏洞达到危害影响，但需要较苛刻的利用条件、或者利用场景时，按照漏洞实际影响进行上下幅度的漏洞等级进行评分。

2. 智能硬件中属于小米账号体系、风控、app 的相关漏洞按照 web、移动端的评分标准进行评分。

3. 关于生态链合作厂商的漏洞，目前只收取与小米业务信息相关的漏洞，我们会参考实际危害和影响做具体评级操作，生态链中的漏洞不计入额外奖励当中。对于与小米信息无关的生态链厂商漏洞，我们会向漏洞提交者表示感谢，并积极传达给生态链合作厂商要求其修复。

4.4.2 IOT产品漏洞报告要求

（1）测试设备名称

（2）固件版本

（3）漏洞分析的详细报告，包括必要的调用链描述+截图

（4）验证漏洞的poc，或exp 的源码

（5）存在多交互场景或者具备一定演示效果的，上传录制视频

（漏洞报告详细程度将直接影响漏洞评分）

4.4.3 评分细则

漏洞级别	漏洞详情	奖励标准（贡献币）
严重	严重的逻辑可造成用户较大经济损失的漏洞；互联网环境下无交互远程命令执行漏洞；互联网环境下控制未授权设备；注：需要提供exp或者能够证明漏洞可用性的poc；	核心业务：2000-6000 一般业务： 500~2000
高危	局域网内的无交互命令执行；互联网环境下能够获取大量用户详细敏感信息的漏洞；注：需要提供exp或者能够证明漏洞可用性的poc。	核心业务：600~1200 一般业务：300~600
中危	局域网内的有交互或者授权后命令执行；互联网环境下的拒绝服务；需要较苛刻环境下才能触发的危害较高的漏洞。	核心业务： 150~400 一般业务： 80~150
低危	不安全配置（利用难度较大或无较大影响的问题将忽略）低危的信息泄露需要物理接触，危害只造成信息泄露或有安全风险类漏洞；局域网内的拒绝服务；强交互后的拒绝服务。	核心业务：30~60 一般业务：10~30
忽略	IoT 固件未加密IoT设备调试接口打开但无法获得shell；下载固件的方式是http； IoT设备存在硬件标识；对自有IoT设备的本地DoS攻击； BLE GATT链接通道占用无按键设备的蓝牙授权绑定EndOfLife的设备(严重漏洞除外)信道占用类的拒绝服务或者临时拒绝服务；授权后的拒绝服务；授权后的存储XSS；耗尽设备资源≠拒绝服务；侧信道相关漏洞。	/

4.5 汽车终端评分细节

4.4.1 汽车终端安全漏洞报告要求

（1）测试整车时，须提供整车型号。

（2）测试汽车核心零部件（车机、TBOX、网关、智驾等）硬件设备时，须提供硬件外壳铭牌上标识软硬件版本。

（3）测试固件、应用、组件等时，须提供相应的版本号。

（4）漏洞分析的详细报告，包括必要的影响（危害）说明、利用链描述（图视文）和修复方案。

（5）验证漏洞的poc，或 exp 源码。

（6）存在多交互场景或者具备一定演示效果的，上传录制视频。

（漏洞报告详细程度将直接影响漏洞评分）

4.4.2 评分细则

汽车终端漏洞按照实际危害和对整车的影响范围，划分为按照严重、高危、中危、低危、忽略等五个等级。

具体的对应关系和奖励区间如下：

影响范围	奖励标准（贡献币）
影响范围	严重	高危	中危	低危	忽略
整车级	3000-10000	1000-3000	200-1000	100-200	0
核心零部件		200-1000	100-200	50-100	0
单个组件或模块			50-100	20-50	0
单一功能服务				0-20	0

以下详细的各级别漏洞说明和奖励标准：

漏洞分类	漏洞说明	利用方式	造成的影响（包括但不限于下述场景）	奖励标准（贡献币）
严重	远程无接触控制任意车并对汽车功能、财产、人身安全造成影响	不限于蓝牙、WIFI、通信模组、NFC	解闭锁门窗、断电、刹车、启动、开走等	整车级： 3000-10000
高危	远程无接触获取任意车敏感数据	仅限对小米汽车或小米平台漏洞利用，三方平台（如等平台）漏洞利用无效	• 任意车GPS信息 • 任意车轨迹信息 • 任意车登录凭证信息 • 任意车视频数据	整车级： 1000-3000 核心零部件： 200-1000
	获取汽车核心零部件高危权限	不限于本地（非诊断口）或远程	• 车机实现任意APP安装或root • 网联控制器实现任意刷写或root • 网关任意刷写或root • 无感影响ADAS正常辅助驾驶功能并影响功能或人身安全（须具体poc或漏洞利用细节及利用影响）
	实现本地部分或完整汽车控制权	本地利用非车内	• 通过可修复性破拆汽车外部线束方式实现控制汽车门窗或开走汽车 • 利用本地小爱实现控制汽车门窗等功能
	突破系统限制造成功能、财产影响的漏洞	仅限漏洞、通用算法利用	• 实现任意车机调试开启和安装限制 • 实现对收费或限制功能bypass
	实现部分功能拒绝服务	仅限漏洞利用造成（Fuzz需复现）	• 造成车机系统无法启动需要刷机或换件恢复
中危	远程获取单一汽车敏感信息	不限于利用云端、车端漏洞	• 单车GPS信息 • 单车轨迹信息 • 单车token信息 • 单车视频数据	整车级： 200-1000 核心零部件： 100-200 单个组件或模块：50-100
	获取汽车核心零部件权限	不限于本地或远程	• 获得车机或车机组件普通权限 • 获得Tbox或Tbox组件普通权限 • 获得网关或网关组件普通权限 • 获得ADAS或ADAS组件普通权限
	实现部分功能拒绝服务	仅限漏洞利用造成（fuzz需复现）	• 造成蓝牙、WiFi崩溃需重启车机或断电恢复 • 造成汽车无法启动，需要断电恢复 • 造成车机黑屏卡死，需重启车机、汽车断电恢复 • 造成空调无法使用，需要汽车断电恢复 • 造成雨刮器无法使用，需要汽车断电恢复 • 造成辅助驾驶功能无无法使用，需要汽车断电恢复 • 造成车窗无法使用，需要汽车断电恢复
低危	本地信息泄露	本地	• 本地log中存储打印敏感信息：手机号、token、key、GPS等敏感信息 • 通过UART、JTAG、SPI等调试手段打印的调试信息	整车级： 100-200 核心零部件： 50-100 单个组件或模块： 20-50 单一功能服务： 0-20
	本地实现部分功能拒绝服务	仅限漏洞利用造成（fuzz需复现）	• 造成蓝牙、WiFi崩溃重新开关蓝牙、WiFi可恢复 • 造成APP闪退、卡死无法使用，但重启车机可恢复 • 造成车机界面APP卡死，但重启车机可恢复
	其他极端条件下触发的漏洞	本地	• 不可在任意相同条件下复现的漏洞，只能在某特殊环境下才能触发的漏洞
忽略	厂商已知的漏洞	不限	• 厂商内部已知且在修复计划内的漏洞 • 厂商内部已知且不计划修复的漏洞：蓝牙/NFC中继漏洞 • 厂商内部已知且根据厂商判定影响可忽略的漏洞：未验证的威胁情报、供应链漏洞且不影响本车漏洞	/
	厂商未知的漏洞	不限	• 人为构造的漏洞：厂商无法复现且无POC验证的漏洞 • 通过故障注入或侧信道绕过某个单一功能但不能进一步利用或说明漏洞被利用造成危害的漏洞
	4S店或供应链泄露工具利用	不限	• 利用供应链泄露诊断工具实现对核心零部件功能进行刷写导致的问题 • 利用4S店泄露诊断工具或账号系统实现对核心零部件功能进行刷写导致的问题 • 利用供应链泄露算法dll封装成三方诊断工具实现对核心零部件功能进行刷写导致的问题

五、威胁情报评分细则

5.1 威胁情报奖励标准

1、相同情报内容，首位提交者予以确认，其他报告者不予确认。

2、报告最终评分将与情报详细程度直接关联，即报告详细程度会影响最终评分。

3、未经允许对外披露情报内容，将不予确认，已确认的情报将有权更改。

针对影响巨大的情报，1k-5W 的额外现金奖励规则同样适用

5.2 威胁情报报告要求

（1）情报类型：简要分析情报所涉及的主要问题，如漏洞、数据泄露、涉及金钱的刷单等

（2）相关路径：受攻击的具体页面、接口或消息来源，如活动页面，被利用接口、数据来源地址

（3）攻击方法：提供情报涉及的作弊或攻击所使用的技术手段、流程步骤或工具等

注：若报告无（2）、（3）两项内容，情报将被忽略

5.3 威胁情报奖励细则

漏洞级别	漏洞详情	奖励标准（贡献币）
严重	大量小米用户核心数据流传贩卖线索提供重大0day、未公开漏洞形成的产业链等线索服务器被入侵，提供入侵行为方式等相关线索能对小米营收产生重大影响的相关情报	300~500
高危	用户敏感信息大规模被窃取且提供了攻击代码等相关线索大量敏感的内部业务信息、员工信息被窃取且提供了相关线索大量近期的订单信息被流传贩卖线索能对小米营收产生较大直接影响的相关情报	100~250
中危	对特定业务营收产生较大直接影响的相关情报，如：利用活动刷积分、绕过业务限制、黄牛产业链、大量薅羊毛等能帮助完善防御系统以防御高风险及以上级别危害的新型攻击方式、技术等	10~60
低危	验证码绕过、系统被攻击拒绝服务等未对用户造成损失，但对业务有影响的情报攻击者相关信息	1~20
忽略	少量用户信息泄露无法追溯问题根源、不能证实、根据现有信息无法调查利用的威胁情报对业务用户影响不大，在可承受范围内个别的钓鱼网站MiSRC已知的威胁情报	/