蚂蚁集团非常重视自身产品和业务的安全问题，我们深知，挖掘漏洞需要付出宝贵的时间和精力，我们承诺，对每一位报告者反馈的问题都有专人进行跟进和处理，并及时给予答复。同时，对于帮助蚂蚁集团提升安全质量的用户，我们将给予您感谢和回馈。
致谢：所有对这个标准给出建议的帽子
如果您对本流程有任何的建议，欢迎发送邮件至antsrc@service.alipay.com向我们反馈。建议一经采纳，AntSRC 会送出专属定制礼品。

评分标准

蚂蚁金币 = 基础蚂蚁金币 * 应用系数

基础蚂蚁金币：

严重300-1000金币、高危漏洞160-300金币、中危漏洞40-160金币、低危漏洞10-40 金币（1金币∽10元）

应用系数：核心业务5、非核心业务1

核心业务

如蜻蜓系列支付设备、如意lite支付设备、可穿戴IoT设备中集成的支付宝应用等。

严重

1. 无条件远程获取root用户权限并执行任意代码、命令，包括但不限于远程控制设备。

2. 在未授权状态下远程访问受保护的数据（如用户人脸图像、口令）导致的核心敏感数据大批量泄露。

3. 可造成大批量用户经济损失的逻辑漏洞。

高危

1. 有条件的获取root权限并执行远程代码、命令，包括但不限于设备有特殊配置、需授权、需交互、限制局域网等。

2. 利用本地漏洞突破敏感数据保护机制获取敏感数据（如TEE中的数据）。

3. 在未授权状态下远程发起永久性拒绝服务攻击导致设备无法使用，或者需要重新刷写整个系统才可恢复。

4. 无需用户交互的重点业务漏洞。

5. 核心业务的逻辑漏洞，能够有限获取利益，对公司、用户造成巨大损失。

中危

1. 有条件限制的拒绝服务攻击，包括但不限于局域网内、需要交互临时性攻击等。

2. 在未授权状态下远程访问不受保护的数据，在一定条件下对用户造成危害。

3. 非重要功能的越权、逻辑漏洞，包括但不限于本地获取用户权限、限制条件等。

4. 需要较苛刻环境下才能触发的危害较高的漏洞。

低危

1. 发起暂时性拒绝服务攻击导致系统挂起或设备重新启动，影响系统可用性。

2. 不安全配置导致的或特殊条件下的信息泄露漏洞、利用难度大的漏洞。

3. 低风险业务安全漏洞。
   

评分标准通用原则

1. 评分标准仅适用于可威胁到蚂蚁集团IoT产品的漏洞。

2. 对于非蚂蚁集团自身的产品和业务，如蚂蚁集团的投资公司、合作公司按照非核心应用IoT漏洞评估标准来定级和给分，且不保证能按照预定时间处理。

3. 第三方IoT设备（集成蚂蚁集团应用，如支付宝）中的root漏洞不属于AntSRC的接收范围，如符合威胁情报评估标准（规模化利用，重大0day漏洞等），可依据威胁情报标准给予奖励。

4. 同一个漏洞源产生的多个漏洞只计其一，且多个重复漏洞，只确认第一个漏洞。

5. 报告网上已公开的漏洞不计分；且在漏洞未修复之前，泄露漏洞细节也不计分；已给分漏洞如有泄露，AntSRC有权收回奖励。

6. 以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，将不计分，同时蚂蚁集团保留采取进一步法律行动的权利。

7. 本标准未覆盖的漏洞类型，按照AntSRC漏洞评估标准来评定。