2026-05-20 05:48:00 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 火山引擎安全专测活动于2026年5月19日至31日开展，针对全线业务提供漏洞多倍积分奖励：重点高危漏洞3倍积分、其他高危漏洞2倍积分，新用户首次提交高危漏洞可获2000元奖励，重点情报额外奖励2000元。活动明确测试规范，要求合法无害化测试，禁止自动化扫描、内网渗透、数据传播等行为，漏洞确认后需立即删除测试数据。 综合评分： 78 文章分类： SRC活动,漏洞分析,安全建设,安全运营,解决方案

cover_image

火山引擎安全专测上线！漏洞多倍积分、情报特殊奖励奉上

字节跳动安全中心

2026年5月19日 15:23 北京

在小说阅读器读本章

去阅读

专测时间

5月19日-5月31日

报告标题请备注【火山专测】

专测范围

火山引擎/Byteplus全线业务

各产品业务系数可通过官网src.bytedance.com-奖励标准处查看

专测奖励

奖励一积分翻倍奖励

1. 重点漏洞类型，高危奖励3倍积分

代码执行沙盒容器逃逸
SSRF、RCE等入侵类漏洞
获取高敏AK等涉及核心敏感信息泄漏的漏洞
可获取MCP/Agent控制权限的漏洞
涉及账号接管、任意登录的漏洞

2. 除以上外，其他高危漏洞，奖励2倍积分

奖励二-新人礼

新用户首次提交高危/严重漏洞，奖励2000元/人

* 新人定义：2026年未提交过高危/严重漏洞的白帽子

奖励三-重点情报奖励🍗

1. 以下情报类型（高危及以上），额外奖励2000元/个：

对平台算力资源有重大影响的情报
涉及到大量平台用户数据的情报

以及其他黑灰产在使用的能对平台造成重大影响的情报

2. Clawhub镜像站恶意skill情报奖励

➡️https://cn.clawhub-mirror.com/

#中危｜额外奖励500元：

Skill包体中存在能导致“智能体或Skill运行环境被攻击者远控”的恶意代码与提示词

#低危｜额外奖励100元：

Skill包体中存在能导致“智能体或Skill运行环境内的敏感凭据被攻击者窃取”的恶意代码与提示词
Skill包体中存在能导致“智能体或Skill运行环境永久拒绝服务”的恶意代码与提示词

补充说明

1、非信息安全漏洞导致的内容安全风险不收、与模型提示和响应内容相关的问题暂不收取。如这些问题对产品可造成额外的、可直接验证的安全影响（机密性、完整性、可用性），则正常收取。模型提示和响应内容的相关问题举例：

-模型提示：越狱/安全绕过（如 DAN 等相关提示词）

-模型响应内容：大模型输出恶意内容（如违规营销信息、恶意代码等，可向产品帮助中心反馈：豆包->设置->帮助和反馈->提交反馈)

-模型幻觉：让大模型假装成计算机终端并执行命令等

2、非隐私数据泄露相关的AI服务风险暂不收取（jail break，prompt leak等）。

3、个人用户从Coze发布至豆包的智能体及插件所引发的安全漏洞不收取（如UGC 内容中用户自身行为导致的信息泄露不收取）。

4、沙箱环境中的代码执行/命令执行本身是预期的产品功能，如果能逃逸或影响到其他用户容器，则正常评分。（有效条件：逃逸到宿主机/物理机，获取有效敏感信息和权限，或证明通字节内网；可通过ssrf的方法验证通字节内网关于SSRF漏洞测试平台使用说明）

5、活动发奖：漏洞通过后，平台将会先下发基础积分，预计6月30日前下发活动额外奖励积分。请师傅们耐心等待❤️

测试规范

核心原则

1、合法化原则：所有测试行为必须遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求。

2、无害化原则：禁止进行可能引起用户利益受损、业务异常运行的测试行为。

通用测试规则

1、禁止使用可能造成业务影响的测试工具和手法。如：只允许手工低频测试，不允许手工高频发包、或使用自动化工具/插件测试，避免因过度测试导致业务告警、服务中断等问题。

2、禁止进行内网渗透测试行为和任何有害化的测试行为，包括但不限于：获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据、上传 webshell、反弹 shell等。

3、禁止下载、保存、传播业务数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登录凭证等，若存在不知情的下载行为，需及时说明和删除；测试过程中获取的相关代码/数据，务必在SRC漏洞确认后立即删除，不得非法留存及使用（无论数据是否脱敏）。

4、禁止任何类型的网络拒绝服务（DoS 或DDoS）测试，或通过软件、工具自动扫描产生大量数据流量的行为。

5、禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试，尤其是禁止使用社工库等非法手段获取用户密码。

6、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。

7、禁止以证明漏洞危害为借口，对目标系统进行破坏性操作，如删改数据/配置、植入恶意程序等。

8、禁止用户打扰类测试。包括但不限于向真实用户邮箱、手机、社媒账号等渠道发送测试信息、发起群聊、推送push等干扰信息；或通过电话、即时通讯工具等方式直接联系真实用户进行测试。

9、禁止对未授权厂商/业务、超出测试范围列表进行漏洞挖掘，可与管理员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。

10、请将所有测试操作和行为及时、如实、完整上报，因故意瞒报、漏报等造成业务损害或潜在风险，ByteSRC保留追责权利。

转发有礼

分享本文至朋友圈并扫码抽奖

抽3个小伙伴

送出SRC定制充电宝🎁

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：字节跳动安全中心《火山引擎安全专测上线！漏洞多倍积分、情报特殊奖励奉上》