蚂蚁集团非常重视自身产品和业务的安全问题，我们深知，挖掘漏洞需要付出宝贵的时间和精力，我们承诺，对每一位报告者反馈的问题都有专人进行跟进和处理，并及时给予答复。同时，对于帮助蚂蚁集团提升安全质量的用户，我们将给予您感谢和回馈。

致谢：所有对这个标准给出建议的帽子

如果您对本流程有任何的建议，欢迎发送邮件至antsrc@service.alipay.com向我们反馈。建议一经采纳，AntSRC 会送出专属定制礼品。

评分标准

蚂蚁金币 = 基础价值 * 完整性系数

基础价值：严重情报55-66金币、 高危情报20-25金币、中危情报3-8金币、低危情报1-2金币

完整性系数：完整10、最不完整1

严重

基础金币【55-66】，本等级包括：

1. 针对核心业务系统的入侵情报。如核心生产服务器的入侵且提供了入侵 行为方式等相关线索；
   

2. 重大0Day漏洞。如核心服务器软件、系统 等未公开或半公开漏洞，核心办公软件等未公开或半公开的漏洞等；
   

3. 重要业务数据库被拖取且提供了数据库名或数据库 文件等相关线索；
   

4. 重大金融逻辑漏洞线索，如新型支付类严重的逻辑漏洞；

5. 对核心业务造 成重大影响的威胁组织活动情报。如大规模支付宝账号盗取、利用金融平台洗钱等；

高危

基础金币【20-25】，本等级包括：

1. 针对非核心业务的入侵情报；

2. 可造 成重大影响的新型病毒、木马、蠕虫。如因重要业务的存储XSS漏洞导致的大规模蠕虫事 件等；

3. 对核心业务造成较大影响的威胁组织活动情报。如扫号、 DDoS情报等；

4. 重要业务以及公司的大量重要数据泄露，如提供数据泄露源、提供数据泄露方式等重要线索。

中危

基础金币【3-8】，本等级包括：

1. 针对蚂蚁集团的新型可利用的攻击技术、工具及平台等。如 漏洞利用工具、针对支付宝账号的扫号工具等；

2. 一般风险的业务 安全问题。如营销活动作弊、业务规则绕过；

3、威胁组织基础信息 。包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售 渠道、使用的工具和平台、造成的相关影响、行业动态等。

低危

基础金币【1-2】，本等级包括：

1. 低风险业务 安全问题。如恶意注册、违规违禁、商户欺诈；

2. 舆情舆论。包括 但不限于涉及到蚂蚁集团恶意言论、谣言等。

核心业务

支付宝、芝麻信用、蚂蚁财富、网商银行、蚂蚁小贷、蚂蚁金融云、余额宝、招财宝、蚂蚁花呗

完整性系数

由于情报的完整性对情报的价值有着重要的影响，因此我们上报情报的价值会进行情报 完整性考量。情报完整性系数的评价将综合考虑情报的多个方面，如情报涉及的人员、 利用点、利用方式等。情报完整性系数的评价方式如下，最高不超过10分。

【我们 重点关注以下内容，范围0-9分】

1. 情报涉及到的威胁人员，如可定位到入侵者 个体或组织的情报；
   

2. 情报所涉及的利用点，如信息泄露页面或接口；
   

3. 所涉及的主要问题，如黑产、入侵、套现等；
   

【以下内容辅助关注，范围0-1分 】

1. 情报所需要用到的重要时间点，如入侵开始、结束的时间点等；
   

2. 情报背后的深层原因，如APT的背后组织者、进行攻击的根本原因；
   

3. 情报所涉及问题已造成的危害程度，如黑产组织已造成的损失等。
   

*注：辅助关注点仅当在对情报有突出意义时才计分。

无效情报

无效情报是指错误、无意义或根据 现有信息无法调查利用的威胁情报，例如：

上报虚假捏造或人为制 造情报信息的；

上报可能套现的QQ群号，且未提供其他有效信息的 ；

上报已发现或失效情报的。

评分标准通用原则

1. 评分标准仅适用于可 威胁到蚂蚁集团产品和业务相关的情报。与蚂蚁集团完全无关的情报，不计蚂蚁金币；

2. 由于情报分析调查的时间较长，因此确认周期相比漏洞 的时长较长；

3. 由于情报的时效性，报告已知或已失效的情报不计分；

4. 同一情报，首位报告者计蚂蚁金币，其他报告者均不计；

5. 涉及到与蚂蚁安全的情报，在情报未处理完成前公开的，不计分。