不再只限專家,人人都能賺 30 萬
Claude 的開發商 Anthropic 8 日宣布,把原本只對資安研究員開放的「Bug Bounty」全面公開,現在只要上 HackerOne 註冊,就能回報漏洞領獎金,最高一筆 1 萬美元(約 30 萬台幣)。
獎金怎麼算?四級風險+是否為核心
| 嚴重度 | 非核心系統 | 核心系統 |
|---|---|---|
| 低 | 100–250 USD(3k–7.5k 台幣) | 250–750 USD(7.5k–22.5k 台幣) |
| 中 | 250–750 USD | 1k–2.5k USD(3–7.5 萬台幣) |
| 高 | 1k–2.5k USD | 3k–5k USD(9–15 萬台幣) |
| 緊急 | 3k–5k USD | 7.5k–10k USD(22.5–30 萬台幣) |
目前回報分布:低風險 12 %、中 43 %、高 44 %、緊急 1 %,中等漏洞最容易中獎。
為什麼突然對外開放?
- AI 攻擊面暴增:模型外掛、插件、長提示詞都能藏洞。
- 社群回報量翻倍:私測時 429 件/90 天,官方乾脆開大門。
- 搶在對手前抓漏:OpenAI、Google 也撒錢,Anthropic 不想落後。
台灣人怎麼參加?三步搞定
- 註冊 HackerOne
用護照英文名即可,手機收簡訊認證。 - 挑目標
Claude.ai、Claude API、iOS/Android App 都算範圍;先看官方「安全範團」頁面,掃堂、社工、DDoS 不算。 - 寫報告
附上重現步驟、螢幕錄影、PoC 腳本,越清楚越快過。
想提高過案率?三個小技巧
- 從外掛下手:Claude 的 Google Drive、Slack 外掛更新頻繁,邏輯跳轉最常出洞。
- 用中文陷阱:測試跨語言提示詞能否繞過安全過濾器,官方特別關注多語系統。
- 附修補建議:除了描述漏洞,主動給程式碼或設定檔修補,獎金常加 20 %。
已發 8630 萬台幣,平均 3 天付款
根據 HackerOne 公開數據,Anthropic 累計已發 55 萬美元(約 8630 萬台幣),中位數審核 4 天、付款 3 天,速度在平台排前 10 %。
台灣白帽還能搭配這些計畫
- HackerOne 額外排行榜:每月前 10 名再送 1 萬美元獎金。
- 內政部資安獎金:若漏洞同時影響國內關鍵設施,可再申請政府獎金。
- 企業實習面試:趨勢科技、玉山銀行等資安職缺,直接把 HackerOne 積分當作品集。
小結:把興趣變收入最快管道
Anthropic 把門檻拆掉,等於把 30 萬台幣放在路邊。與其等 AI 出包幫你工作,不如先抓它的包賺零用金。今晚就開 Claude 亂點亞試,找到洞,明年學測後你就有自己的壓歲錢基金。
試試看吧,打開 hackerone.com/anthropic 回報第一個 Bug!
