微信 x TSRC专项众测冲刺|百万奖池火力全开!单洞赏金最高12万!

原创 于 2025-10-31 17:31:09 发布 · 445 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#微信

诚邀您,

与我们一起,

让连接更安全。

微信的使命,是连接每一个人。而安全,是这一切连接得以稳固的基石。

为了守护数亿用户在这方天地里的每一次交流、每一笔支付、每一次服务获取,微信团队联合TSRC,正式启动专项众测。这不仅仅是一次技术测试,更是一场对信任的守护。

福利一:

提交活动范围内的高危、严重漏洞最高获4倍安全币。

严重漏洞最高超5万元。

高危漏洞最高超2万元。

福利二:

为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励(1~3万元)。

福利三:

特定严重漏洞,月度即时现金奖励最高可达3~6万元。

福利四:

提交更加清晰明确、利用思路新颖、手法独特等的特别贡献安全报告,还将额外获得高质量报告奖励(最高5000元)。

本次众测,范围更广!核心更明确!高危严重漏洞场景更清晰!奖励更重磅!深度测试指定核心功能,单漏洞最高奖励12万元

活动时间

2025.11.1 - 2025.11.15

活动范围

本次众测仅针对特定业务范围、特定漏洞类型,两者需同时满足。具体如下:

1. 特定业务范围:

微信指定核心功能、

微信全线业务

注:

1. 微信指定产品范围如下:

-【指定功能高危以上漏洞2倍激励】微信全线业务,包含微信、企业微信、微信读书、微信输入法、微信支付等各客户端及平台服务应用(不含电商)

-【符合微信核心功能4倍激励】微信客户端、微信登录、聊天、朋友圈、音视频、视频号、直播、小程序、游戏(小程序只收取影响小程序框架的高危漏洞)、微信支付(微信支付功能,微信钱包,微信支付商户平台,微信支付自研刷脸和刷掌设备,微信信用卡还款等)

* 微信活动一百万奖金池激励,先到先得!

2.特定漏洞类型:

👉客户端RCE漏洞,要求可以获取微信客户端程序权限。

👉服务器RCE漏洞,要求可以获取腾讯自营业务服务器权限。

👉用户重要敏感数据泄露,可导致大量(十万条以上)用户敏感数据泄露(如:用户真实姓名、身份证、手机号、住址、交易记录、医疗信息等等),要求包含两个及以上敏感字段。

多重活动奖励

1、符合上述众测范围的漏洞,在TSRC现有评分规则基础上

- 微信核心功能高危漏洞:4倍安全币

- 微信核心功能严重漏洞:4倍安全币

- 微信非核心功能高危漏洞:2倍安全币

- 微信非核心功能严重漏洞:2倍安全币

(贡献值不变)

2、TSRC月度即时现金奖励

符合TSRC即时现金奖励标准的严重漏洞,根据产品情况不同授予税后 1~3 万或以上人民币的奖励。

(针对活动范围内微信特定严重漏洞,额外激励提升至:3-6万/个)

3、TSRC高质量报告奖励

符合TSRC高质量报告奖励标准的漏洞报告,还将额外获得高质量报告奖励(最高5000元)。

参与方式

此次测试为预报备制,参与者需在报名入口提前报备,并遵守活动相关规则进行测试,才可享受活动奖励,参与者需同时遵守《漏洞提交基本原则》(详见文末)。

1、提前报备

为方便快速定位,本次众测活动中的所有漏洞测试行为需提前报备,未经提前报备的测试结果不享受活动奖励。

进入链接或扫码报备👇

https://wj.qq.com/s2/24613148/40wc/

2、TSRC官网提交

报告名称以“微信众测”开头。

漏洞提交基本原则

1、未经腾讯授权,您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。如发现相关情形,TSRC有权收回您因该漏洞获得的全部TSRC奖励及福利。

2、测试过程不得损害业务正常运行,不得以测试漏洞借口尝试利用漏洞损害用户利益,影响业务的正常运行或盗取用户数据等行为。

3、禁止内网渗透行为,包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。

4、禁止进行网络拒绝服务攻击,包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。

5、禁止下载和业务相关的敏感数据,包括但不限于源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

6、在测试未限制发送次数的短信功能时,需填写自己的手机号,禁止对其他用户号码进行尝试。

7、禁止使用可能造成业务影响的漏洞尝试工具,包括但不限于 SQLMap 等,使用时需确认不会对业务数据造成破坏性的影响。

8、在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组,相关数据也需在报告后尽快删除。

9、测试越权尝试或其他可能影响用户数据的操作时,需尽可能将尝试控制在自己创建的多个账号生成的内容中,不得影响到线上业务中其他用户的正常数据。

10、禁止通过物理接触、社会工程学、钓鱼、水坑等不涉及 TSRC 奖励计划的非技术漏洞尝试。

11、我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害腾讯系统及腾讯用户的利益的攻击行为,对相关行为我们保留追究法律责任的权利。

12、漏洞测试和提交准则请参照《腾讯外部威胁情报处理流程》和遵守《SRC行业安全测试规范》。

13、沙箱环境中的代码执行/命令执行本身是预期的产品功能,如果能逃逸或影响到其他用户容器,则正常评分。(有效条件:逃逸到宿主机/物理机,获取有效敏感信息和权限,或证明通腾讯内网;可通过ssrf的方法验证通腾讯内网 ) 

补充说明

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过当前漏洞报告页面中的“审核人员联系方式”及时沟通。

腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,更多详情请参照“腾讯外部漏洞报告处理流程”。

附:《TSRC漏洞处理和评分标准》,详情请参考:

https://docs.qq.com/doc/DSW1Pa0h1SHJ0WWRh

博客
腾讯视频联合TSRC专项众测正式启动!
11-17 895
8、在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组,相关数据也需在报告后尽快删除。9、测试越权尝试或其他可能影响用户数据的操作时,需尽可能将尝试控制在自己创建的多个账号生成的内容中,不得影响到线上业务中其他用户的正常数据。1、无交互越权或无限制批量(10 次以上)使用其它人的较大额的资金类资产(优惠券,礼品卡,附属卡,合作会员,钻石、激励广告、积分)。安全,是让体验不打折扣的坚实底座。
博客
A.S.E 2.0 正式发布 | 开放生态 · 动静协同 · 让 AI 编程安全可量化
11-07 854
A.S.E (AI Code Generation Security Evaluation) - 你的 AI 鉴赏官,为你提供大模型安全实践工具,让你一眼就能选出最靠谱的 AI 队友。在 A.S.E 2.0 中,我们关注的不只是框架本身的进化,更关注开发者、研究者和安全团队在使用过程中的体验与收益。正是你们的关注、建议与共建,让 A.S.E 逐步成长为兼具科研价值与产业影响力的开放评测。“我们的项目关注的漏洞类型更复杂、更广泛,能否支持更多场景的安全评测?
博客
盘点2025年十大MCP漏洞:风险、案例与检测
09-25 802
在AI Agent中,如果MCP Server 功能是执行代码,但没有在安全的沙箱环境中运行,攻击者就可通过对话诱导执行恶意代码,从而完全控制服务器。在AI Agent架构中,远程 MCP 工具需要绑定端口对外提供服务,如果对工具的调用没有进行严格的身份认证和细粒度的权限控制,一个无权限或低权限的用户就可能调用一些高危的工具,造成严重的安全问题。MCP Server的代码中直接调用危险函数/库,例如Python的 os,popen库等,并且无有效的过滤检测机制,导致恶意用户可以直接执行任意命令。
博客
A.S.E首月答卷:社区声音驱动进化,有奖悬赏!
08-27 919
A.S.E (AI Code Generation Security Evaluation) - 你的 AI 鉴赏官,为你提供大模型安全实践工具,让你一眼就能选出最靠谱的 AI 队友。有没有哪个具体的开发场景(比如 Web 安全、API 防护、智能合约审计...),A.S.E 让你对 AI 生成的代码更有信心了?一段具体的 A.S.E 使用案例解析(发现了什么漏洞?这些来自社区的“一手情报”,也将成为我们改进 A.S.E 的重要参考。一个月前,A.S.E 上线,成了首个给 AI 生成代码做“项目级安全。
博客
AI黑客登顶背后:Agent驱动下的安全演习提效实践
07-10 1302
更像是在成熟的静态代码审计和动态安全验证体系上构建的一个黑客智能体,让AI通过执行命令和调用工具来完成渗透流程的关键环节,在XSS这类有着非常明确的漏洞模式的场景上效果不错,但在越权等业务逻辑漏洞场景表现并不佳,当前并没有达到官方宣称的100%AI自主渗透,甚至还有一定的刷分与AI含量注水嫌疑,但相比当前的人类安全专家。很巧妙的利用了一些平台的规则漏洞。登顶到朱雀蓝军Bot的实践,我们看到的并非是AI对人类安全专家的替代,而是AI作为工具的不断进化,从而实现效率的。
博客
当ChatGPT接入MCP,你的数据是如何被泄露的?
06-28 1147
因此,攻击者可以利用恶意的MCP,在工具描述或外部数据中悄悄植入后门指令,劫持大模型的行为,执行预期之外的恶意操作。● MCP协议官方: “我们只负责定义一套高效、安全的通信标准,我们会通过OAuth授权、HTTPS加密传输等技术保证数据完整可靠的送达给AI Agent,我们无法、也不该为用户通过MCP协议传输的数据内容是否恶意负责。为了吸引尽可能多的像小明一样鱼儿上钩,攻击者会利用公开的API快速封装了一些功能正常的远程MCP Server,并将其包装成一个热门站点如Pornhub的相关MCP工具。
博客
朱雀实验室协助vLLM修复CVSS 9.8分严重漏洞
05-22 1992
vLLM是一个专为大型语言模型(LLM)推理设计的高性能框架,通过创新的内存管理和计算加速技术,显著提升吞吐量并降低延迟,特别适用于企业级高并发场景。为保障混元大模型及相关AI软件供应链的安全,朱雀实验室近两年来已帮助腾讯业务提前发现与排雷了英伟达、Hugging Face和PyTorch等多个知名AI组件的严重漏洞风险,并推出了开源工具AI-Infra-Guard( https://github.com/Tencent/AI-Infra-Guard ),帮助社区与腾讯业务快速评估AI基础设施的安全风险。
博客
为了检测MCP安全风险,我们开发了一个AI Agent
04-28 2637
建议将AI-Infra-Guard集成到MCP上架前的安全性评估流程中,对开发者提交的MCP代码进行自动化安全检测,并在市场前端向用户展示MCP的安全检测结果或认证标识,对于检测出存在严重安全风险(如数据窃取)的MCP,不予上架或进行风险提示,帮助用户直观的选择安全可靠的MCP服务,提升MCP市场的安全口碑。朱雀构建的智能体能主动连接本地已安装的MCP服务获取工具信息,并与待检测MCP进行相似度分析,后续还会考虑检索MCP市场上已发布的MCP服务的工具信息进行更全面的对比分析,以识别可能的恶意仿冒。
博客
国家新政鼓励游戏出海,全球化安全威胁如何解
04-24 979
其中游戏出海面临的DDoS威胁形势,相较国内则更为严峻,近年来,针对游戏的DDoS攻击威胁逐步从单点突破过渡到全链路的渗透,包括但不限于战斗服、大厅服、账号系统、充值系统以及官网、赛事、社区等核心周边组件,不仅影响游戏公平性,更可能损害玩家体验和游戏口碑,进而威胁游戏的长线运营。● 接入边缘安全加速平台,利用其全球网络加速和安全防护能力,为游戏账号登录、聊天室、商城、好友、支付等业务,提供全方位的安全加速解决方案,可有效抵御大流量四七层DDoS攻击、应用层攻击(如福利盗刷,撞库,漏洞攻击等)
博客
关于Windows Foxmail安全问题修复通告
04-09 727
也欢迎大家通过腾讯安全应急响应中心(TSRC)向我们提交安全问题,共同助力互联网的安全生态建设。收到报告后立即联合业务团队进行修复,经查只影响Windows版本,已于2025年3月28日紧急发布新版本修复,现Windows Foxmail官网(收到安全情报:Windows Foxmail存在一处安全问题,可能导致攻击者通过恶意邮件构造钓鱼攻击,威胁用户终端安全。
博客
命悬生死线:当游戏遭遇DDoS围剿,如何用AI破局?
03-28 967
以游戏抗D场景举例,在解决AI模型的准确率挑战上,一方面基于“正常的载荷是类似的,异常各有各的异常”及“攻击属于异常流量”的知识经验,通过AI模型学习海量游戏数据,形成具备自学习、自进化、自适应特性的流量模型,通用性强,同时可以检测出未知攻击,漏报率低。背后其实是游戏的服务器正被DDoS攻击者精准打击,每秒涌入的虚假数据包像堵死高速公路的车流,导致30名队员集体上演"PPT式走位",最终团灭扑街,与首杀失之交臂,工会数月的心血毁于一旦,频道里充斥着愤怒和绝望的语音:“ 这比Boss技能还无解!
博客
当黑客用AI做恶,还怎么安全上网?
03-24 1082
传统网络防御系统,正逐年被用上AI的黑客所突破,无论是个人隐私,还是企业数据,甚至是基础设施的安全,都面临着前所未有的威胁。AI 技术的突破,重构了网络犯罪生态,传统认知中的"漏洞利用""代码攻击"早已变成为全链条AI化作战,通过AI,黑客不仅能在极短时间内完成多维度的攻击,还能迅速适应防御系统的变化。AI技术进步,受益者不单单是程序员,黑客的“军备”也全面升级。最好的办法当然是“以子之矛,攻子之盾”,通过AI重塑安全防御体系,让传统的安全防御体系不再“传统”,黑客和安全人的对抗已经变成了AI攻防大战。
博客
全网疯传的「大模型攻防战」真相来了!
02-25 1764
随着大模型技术的不断发展,安全问题已经不再只是技术部门的任务,而是关乎整个行业与社会稳定的核心问题。本文将深入分析大模型在新场景下面临的主要安全威胁,探讨它们可能带来的潜在影响,并结合实际案例,分享应对策略与防护措施。通过建立多层次的安全防护体系,帮助企业在享受技术红利的同时,确保业务和数据的安全与稳定。一、新场景下的安全威胁2025年春节期间,一场突如其来的网络风暴震撼了大模型领域。某知名大模型...
博客
DeepSeek本地化部署有风险!快来看看你中招了吗?
02-17 3158
2025年伊始,AI领域迎来一个重要变革 - DeepSeek R1开源发布,凭借着低成本、性能出众的优势,这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙,大家开始选择使用Ollama+OpenWebUI、LM Studio等工具进行本地快速部署,从而将AI能力引入企业内网和个人PC环境。近期腾讯朱雀实验室发现:这些广受欢迎的AI工具中普遍存在安全漏洞。如果使用不当,攻击者可能窃取用户数...
博客
AI 帮你高效构建代码安全策略【大模型应用实践系列四】
01-07 2368
腾讯啄木鸟代码安全团队,依托混元大模型的超强代码理解和安全分析能力,在SQL注入威胁检测场景验证中,新增识别上百个漏洞检测策略,相比传统方法人效比提升3.8倍,在Github高star项目上斩获10+0day漏洞.
博客
AI猎手:我们用大模型挖到了0day漏洞!【大模型应用实践系列三】
12-27 2456
腾讯啄木鸟团队研发了一款AI大模型自动化漏洞检测工具,在实战拿到多个github项目的0day。
博客
AI助力!明文密码泄漏无处遁形【大模型应用实践系列二】
12-05 1382
本文聚焦于密钥硬编码的问题,分析了传统检测策略的缺陷,并详细介绍了大模型在该场景下的优势、检测实施方案和效果。我们将继续推出更多关于大模型在研发安全、网络安全、威胁情报等领域的应用探索与总结。
博客
大模型应用实践(一):AI助力Code Review安全漏洞发现
11-27 2444
借助混元大模型,腾讯啄木鸟代码安全团队在代码评审(Code Review,下文简称CR)场景下的安全漏洞检出能力取得显著提升,日均发现和阻断300+个代码安全风险,极大提升了公司核心数据资产安全性。
博客
【中秋众测】TSRC新活动重磅来袭,诚邀您的参与!
09-03 592
金秋九月,中秋将至!TSRC新活动重磅来袭,附上额外丰厚奖励。诚挚邀请各位白帽师傅参与!三重福利、四倍奖励。全面出击,一起守护安全!福利一:提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二:为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励。福利三:特定严重漏洞,月度即时现金奖励最高可达3~6万元。活动时间即日起~2024/9/3018:00活动范围本次...
博客
实战解读:Llama Guard 3 & Prompt Guard
07-24 4480
前序研究:实战解读:Llama 3 安全性对抗分析近日,腾讯朱雀实验室又针对 Llama 3.1 安全性做了进一步解读。2024年7月23日晚,随着Llama3.1的发布,Meta正式提出了“Llama系统”的概念,通过系统级的安全组件对AI系统进行更好的控制。值得关注的是,去年12月成立的“Purple LLama”项目又新增三大安全组件:Llama Guard 3 、 Prompt Guard...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值