项目期限

2026-01-01 00:00:00 - 2026-01-31 23:59:59

项目简介

12家SRC联手，共筑安全防线、赢大奖！

规则

新年预热  2025.12.15 - 2025.12.28 （已结束）

巅峰狩猎  2026.1.1 - 2026.1.15

终极冲刺  2026.1.16 - 2026.1.31

💡规则提醒

*规则提醒：你可以自由选择在任意一个或多个翻倍期里集中提交漏洞，享受奖励翻倍！非翻倍期（比如2025.12.29-12.31）提交的漏洞，会按原价正常收录，也计入总积分，只是不享受翻倍。合理安排时间，让你的收益最大化！

🚀怎么赢得超级大奖？

基础翻倍，人人有份

1、在翻倍期内向任一SRC提交漏洞，即可享受该平台公布的翻倍奖励（具体倍数详见各SRC公告）。

广度挑战 赢联合礼包

1、如果在9家及以上SRC都提交了中危及以上漏洞，就能额外获得 “12家SRC新年联合大礼包” 一份！证明你具备跨平台实战能力。

深度角逐 冲榜赢特别激励

1、活动按漏洞等级累计个人总积分（严重30分，高危20分，中危10分，低危5分）。

2、活动结束后，总积分前5名的顶尖白帽，将获得专属 “12家SRC联合特别激励礼包” ，这是属于顶尖猎手的至高荣誉。

第二期活动总览

第二期冲锋号角由以下SRC吹响！

马上消费、OPPO、BOSS直聘、唯品会各SRC第二期翻倍规则与福利

马上消费安全响应中心

1. 活动时间：2025年12月15日-2026年1月31日

2. 活动范围及漏洞定级：

详见《马上消费金融外报漏洞处理和评分标准》第二十七条“产品范围”。

特别说明：智慧养鸡业务（wisdomxiaoji.msxf.com）相关的报告暂停收取。

3. 奖励机制

1）单个漏洞最高奖励3.5w

严重/高危/中危统统2倍基础奖励，核心严重再+1.2万元；

核心高危、重点严重、重点高危：在基础奖励上额外奖励1万元；

边缘严重、边缘高危：在基础奖励上额外奖励1000元；



2）推荐奖励：活动期间，新注册白帽每提交1个中危及以上有效漏洞并经过审核确认，推荐老用户可额外获得500元，奖金可叠加。

⭕ 重要提醒：受邀的千里马须在报告标题中备注推荐人在SRC的用户名，如受邀人未备注则视为不参加“千里马”奖励活动。

4. 测试注意事项：禁止对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘，参与者需遵守《SRC行业安全测试规范》。   

OPPO安全中心

一、活动时间：2026.1.1-2026.1.15

二.活动范围及奖励规则

1、高系数与极高系数所有漏洞等级可获得基础奖励50%的额外奖励（额外奖励将在活动结束后统一添加）

2、首次在OSRC提交有效漏洞的白帽可享受首个漏洞基础奖励50%的额外奖励，不限等级与业务系数，不与活动其他奖励叠加

3、活动期间凡是提交中危及以上有效漏洞（不限业务系数）者均可0积分兑换OSRC新年礼盒一份，每个ID仅限1份

漏洞接收范围：请参考OSRC官网公告中漏洞标准规范https://security.oppo.com/cn/notice

活动说明：

1、活动标题：提交时报告标题需添加【跨年联合】，否则不视为参与活动，如：【跨年联合】RCE漏洞

2、活动漏洞请通过OSRC官网（security.oppo.com）提交漏洞，漏洞提交时间以提交时间为准，标题格式需严格按照要求，否则将不视为参与漏洞。

3、活动的漏洞奖励不与其他活动的额外现金奖励同享。漏洞需按标题格式提交。按标准格式提交的漏洞，默认仅参与本次活动。一个漏洞不能同时参加多个活动。

4、活动额外奖励将在活动结束后统一添加，并跟随月度奖励一同发放。如奖金与OSRC现有奖金等级冲突，以奖金高者为准。

5、参与活动的有效漏洞贡献值将计入当月贡献值排名，可享当月实物奖励（如有），额外奖励不计入贡献值。

6、如有疑问，可咨询OSRC运营小助手【微信号：opposrc2018】，或加QQ群【551696812】或【320761688】获取活动第一资讯。

7、活动最终解释权归OSRC所有。

BOSS直聘安全应急响应中心

一、活动时间：2026.1.1-2026.1.15

二、活动范围：

参照《漏洞处理流程和评分标准V2.1版》

应用类型划分：

1) 核心应用：BOSS直聘、店长直聘、OfferToday相关业务；

2) 一般应用：看准、BOSS管家、撒糖相关业务；

3）其他应用：其他属于BOSS直聘公司的业务。

三、奖励规则：

1、安全币翻倍：

核心/一般应用有效严重/高危 漏洞/情报 2倍 安全币；

核心/一般应用有效中危 漏洞/情报 1.5倍 安全币；

2、漏洞首杀：

核心业务有效严重/高危漏洞，即可获得拍立得mini12 一台，每人限一个

核心业务有效中危漏洞，即可获得摩米士磁吸充电宝10000毫安一台，每人限一个

3、梯度奖励：

核心业务高危严重漏洞数量：

2≤N＜5，即可享受【高危漏洞数】*1000安全币 + 【严重漏洞数】*2000安全币的额外奖励；

N≥5，即可享受【高危漏洞数】*2000安全币 + 【严重漏洞数】*3000安全币的额外奖励；

4、新人奖励：

活动期间新注册用户，提交核心或一般业务有效中危及以上漏洞，即可获得100元星巴克星礼卡一张，每人限一个 。

唯品会安全应急响应中心

一、活动时间：2026.1.1-2026.1.15

二、奖励规则：

奖励一：

活动期间，提交生产环境的有效漏洞，严重、高危漏洞可获得 2 倍奖励，中危漏洞 1.5 倍奖励；

奖励二：新年礼盒

活动期间，提交VSRC各等级有效漏洞的白帽子，均获得唯品会新年礼盒一份（本次SRC联合活动各期，新年礼盒一人仅可兑换一份）

奖励三：老带新奖励

活动期间，老白帽子推荐新人白帽子，可获得新人白帽子提交的首个有效漏洞基础奖励的20%作为推荐奖励。

范围：以《VSRC漏洞处理和评分标准-V8.0》为准。

预告（ 第三期联合众测SRC一览）

第三期SRC预告：2026/1/16 - 2026/1/31

马上消费安全响应中心

小鹏汽车安全应急响应中心

BOSS直聘安全应急响应中心

陌陌安全应急响应中心

OPPO安全应急响应中心

奇安信安全应急响应中心

各位小伙伴可以期待一波啦~

测试范围

1、本次活动针对马上消费金融股份有限公司所有漏洞赏金范围内的业务，详见《马上消费金融外报漏洞处理和评分标准》第二十七条 “产品范围”【特别说明：智慧养鸡（wisdomxiaoji.msxf.com）业务相关的报告暂停收取】。 如不清楚资产是否在活动范围内，可微信咨询小助手或通过邮箱security@msxf.com与我们联系~ 2、其他SRC测试范围详见活动公告。

项目期限

2025-12-15 18:00:00 - 2025-12-28 23:59:00

项目简介

12家SRC开启跨年狩猎翻倍盛典！

规则

• 新年预热  2025.12.15 - 2025.12.28
• 巅峰狩猎  2026.1.1 - 2026.1.15
• 终极冲刺  2026.1.16 - 2026.1.31

⚡规则提醒

您可以自由选择在任意一个或多个翻倍期里集中提交漏洞，享受奖励翻倍！

🚀怎么赢得超级大奖？

基础翻倍，人人有份

1、在翻倍期内向任一SRC提交漏洞，即可享受该平台公布的翻倍奖励（具体倍数详见各SRC公告）。

广度挑战 赢联合礼包

1、如果在9家及以上SRC都提交了中危及以上漏洞，就能额外获得 “12家SRC新年联合大礼包” 一份！证明你具备跨平台实战能力。

深度角逐 冲榜赢特别激励

1、活动按漏洞等级累计个人总积分（严重30分，高危20分，中危10分，低危5分）。

2、活动结束后，总积分前5名的顶尖白帽，将获得专属 “12家SRC联合特别激励礼包” ，这是属于顶尖猎手的至高荣誉。

⚡首发阵容（ 第一期SRC规则预览）

第一期冲锋号角由以下SRC吹响！

马上消费、顺丰、小鹏汽车、BOSS直聘、小拉出行、平安、爱奇艺、中通、华住各SRC第一期翻倍规则与福利：

马上消费安全响应中心

1. 活动时间：2025年12月15日-2026年1月31日

2. 活动范围及漏洞定级：

详见《马上消费金融外报漏洞处理和评分标准》第二十七条“产品范围”。

特别说明：智慧养鸡（wisdomxiaoji.msxf.com）业务相关的报告暂停收取。

3. 奖励机制

1）单个漏洞最高奖励3.5w

严重/高危/中危统统2倍基础奖励，核心严重再+1.2万元；

核心高危、重点严重、重点高危：在基础奖励上额外奖励1万元；

边缘严重、边缘高危：在基础奖励上额外奖励1000元；

2）推荐奖励：

• 千里马奖：活动期间内，新注册白帽每提交1个中危及以上有效漏洞并经过审核确认，推荐老用户可额外得500元（活动期内，新白帽提交多个有效中危及以上漏洞，老用户可叠加享受千里马奖励）；如新注册白帽也推荐其他未注册新用户并成功提交中危及以上有效漏洞，则同样也可获得千里马奖。
• 兑奖条件：
• 受邀的千里马须在报告标题中备注推荐人在SRC的用户名，如受邀人未备注则视为不参加“千里马”奖励活动；
• 提交漏洞必须先完成实名注册；
• 活动结束后8个工作日内完成所有评级，并公示千里马奖励结果；

4. 测试注意事项：禁止对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘，参与者需遵守《SRC行业安全测试规范》。    

顺丰安全应急响应中心

一、活动时间：2025.12.15-2025.12.28  

二、活动专项翻倍规则

1、RCE专项｜3倍奖励

所有RCE类漏洞。—规则见《SFSRC安全漏洞评分标准V6.2》

2、安全情报专项｜1.5倍奖励

高危/严重安全情报（入侵/数据泄露情报类）—规则见《SFSRC安全情报评分标准V3.0》

3、数据安全专项｜1.5倍奖励

高危及以上敏感数据泄露类漏洞—规则见《SFSRC安全漏洞评分标准V6.2》

4、LLM专项｜额外叠加0.5倍

核心定义：漏洞的完整利用链中，必须包含大语言模型LLM作为必要环节或直接触发点。

叠加范围：

LLM触发的RCE类漏洞：符合上述定义的RCE漏洞，在享受3倍奖励的基础上，额外叠加0.5倍。

LLM触发的数据泄露类漏洞：符合上述定义的高危及以上敏感数据泄露漏洞，在享受1.5倍奖励的基础上，额外叠加0.5倍。

5、新年礼盒奖｜实物奖励

在活动期间内，提交任意一个一般/核心系统的有效高危/'严重等级漏洞。（隐私合规类问题不计入本奖励范围）

6、联合SRC奖励｜实物奖励

活动时间：2025.12.15-2026.1.31

获取条件：

1、至少提交9家SRC中危及以上漏洞，可获12家新年联合大礼包

2、联合SRC活动总积分排名前5，可获12家特别奖励联合大礼包

三、活动声明

1、本次活动开始前，请先认真阅读《SFSRC安全漏洞评分标准V6.2》“漏洞挖掘禁止项”模块内容

2、RCE类漏洞，证明漏洞存在即可，可执行无危害命令如whoami、ipconfig/ifconfig，严禁进行内网漫游、拖取数据、更改系统或业务配置等操作，我司将对违法行为保留法律追诉的权利

3、参与测试的白帽，禁止将漏洞的相关信息外发给第三者，一旦发现将取消本次活动参与资格

4、顺丰SRC对本次活动保留最终解释权  

小鹏汽车安全应急响应中心

一、活动时间：2025.12.15-2025.12.28

二.活动范围

1.本次漏洞活动仅涵盖以下域名及相关系统：

*.xiaopeng.com

*.xpeng.com

*.x-peng.com

*.xiaopeng.link

特别说明：

sip系统（包括不限于sip.xiaopeng.com，sip-eu.uat.xpeng.com，tis.xpeng.com）只收取RCE和SSRF等能影响到内网的漏洞。

2.小鹏汽车相关威胁情报，详细标准见【公告】小鹏汽车威胁情报1.0。

三.活动奖励

1.高危严重奖励丰厚。

①高危、严重漏洞/情报2倍奖励，

②活动期间前3个严重漏洞额外奖励1000元，前3个高危漏洞额外奖励500元。

2.专属纪念品。

提交有效中危及以上漏洞/情报可获得小鹏汽车精品车模一个（每位用户限1个）  

BOSS直聘安全应急响应中心

一、活动时间：2025.12.15-2026.1.31

活动范围：参照《漏洞处理流程和评分标准V2.1版》

应用类型划分：

1) 核心应用：BOSS直聘、店长直聘、OfferToday相关业务；

2) 一般应用：看准、BOSS管家、撒糖相关业务；

3）其他应用：其他属于BOSS直聘公司的业务。

二、奖励规则：

1、安全币翻倍：

核心/一般应用有效严重/高危 漏洞/情报 2倍 安全币；

核心/一般应用有效中危 漏洞/情报 1.5倍 安全币；

2、漏洞首杀：

核心业务有效严重/高危漏洞，即可获得拍立得mini12 一台，每人限一个

核心业务有效中危漏洞，即可获得摩米士磁吸充电宝10000毫安一台，每人限一个

3、梯度奖励：

核心业务高危严重漏洞数量：

2≤N＜5，即可享受【高危漏洞数】*1000安全币 + 【严重漏洞数】*2000安全币的额外奖励；

N≥5，即可享受【高危漏洞数】*2000安全币 + 【严重漏洞数】*3000安全币的额外奖励；

4、新人奖励：

活动期间新注册用户，提交核心或一般业务有效中危及以上漏洞，即可获得100元星巴克星礼卡一张，每人限一个  

小拉出行安全应急响应中心

一、活动时间：12月15日-12月28日

资产范围：*.xiaolachuxing.com、*.xlcx.cn、*.xlcx.work结尾的域名且解析的IP是小拉资产

提洞地址：https://xlsrc.xiaolachuxing.com

二、小拉SRC奖励规则：

1、翻倍奖励（隐私漏洞除外）：活动期间，提交有效漏洞报告，2倍积分奖励

2、推荐奖励：老白帽子推荐新人白帽子，可获得新人白帽子提交的首个有效漏洞基础奖励的20%作为推荐奖励

三、特别提醒

1、每周五17:00 ~ 周六24:00期间为业务高峰期，禁止进行测试；

2、12月24日及12月25日的17:00~24:00期间为业务高峰期，禁止进行测试；

3、法定节假日：元旦、春节、清明节、劳动节（五一）、端午节、中秋节、国庆节，均全天（0:00至24:00）为业务高峰期，禁止进行测试；

4、安全测试规范：

●禁止用扫描器或其他自动化工具，只允许手工测试；禁止网络拒绝服务（DoS 或DDoS）测试；

●安全合法合规测试，《XLSRC安全测试规范》https://xlsrc.xiaolachuxing.com/#/noticdetails?notic=%5Bobject%20Object%5D&id=58、《小拉出行安全应急响应中心（XLSRC）测试规范》https://xlsrc.xiaolachuxing.com/#/noticdetails?notic=%5Bobject%20Object%5D&id=59；

●我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益、影响业务正常运作的黑客行为，同时我们将保留进一步追究法律责任的权利。

5、业务高峰期禁止测试，如发现违规测试操作，将对涉及的漏洞进行积分及贡献值清零处理。

唯品会安全应急响应中心

时间：2025 年 12 月 15 日 - 12 月 28 日

奖励一：

活动期间，提交生产环境的有效漏洞，严重、高危漏洞可获得 2 倍奖励，中危漏洞 1.5 倍奖励；

奖励二：新年礼盒

活动期间，提交VSRC各等级有效漏洞的白帽子，均获得唯品会新年礼盒一份（一人仅可兑换一份）

奖励三：老带新奖励

活动期间，老白帽子推荐新人白帽子，可获得新人白帽子提交的首个有效漏洞基础奖励的20%作为推荐奖励

范围：以《VSRC漏洞处理和评分标准-V8.0》为准  

平安安全应急响应中心

时间：2025 年 12 月 15 日 - 12 月 28 日

奖励：提交生产环境的有效漏洞，严重、高危漏洞可获得 2 倍奖励，中危漏洞 1.5 倍奖励

范围：壹钱包、金融壹账通、平安金服、产险、寿险、健康险、证券、银行、融易、好医生、租赁、智慧城市、科技

提交漏洞：登录平安集团安全应急响应中心 (PSRC) 官网，点击「众测活动」，点击相应活动入口，提交漏洞即可。（注：各业务具体范围可前往平安官网活动详情页查询，确保漏洞提交精准匹配～）  

爱奇艺安全应急响应中心

活动时间：2025年12月15日-2025年12月28日

活动范围：爱奇艺相关业务，不包含合作方业务，参考爱奇艺SRC评分标准：https://security.iqiyi.com/#noticedetail/183

奖励规则：

1、严重高危漏洞双倍、中危1.5倍金币；

2、提交中危及以上危害漏洞可领取2026年新年礼盒

备注：隐私漏洞不参与该活动

漏洞提交地址：https://security.iqiyi.com/#submit 

中通安全应急响应中心

活动时间：2025年12月15日-2025年12月28日

业务漏洞收取范围:

中通快递相关业务(中快传媒、中通鲸选不参与本次活动，参考中通 SRC 漏洞评分标准：https://sec.zto.com/notice/nXXOzcNmEe-t5S6oLRSBIQ)

漏洞提交地址:

https://sec.zto.com/bugs

奖励机制:

1、基础奖励

● 高危及以上漏洞一2倍积分奖励

● 非边缘应用中危漏洞一1.5倍积分奖励

2、重点奖励

活动期间，【前 5 个】提交的有效高危及以上RCE/用户敏感信息类漏洞，奖励3倍积分。

 注：用户敏感信息类主要为涉及用户敏感信息三元组信息（姓名、联系方式、地址）；个人信息字段通常需三个及以上字段组合才能定位关联到具体自然人，无法关联到具体用户的不属于敏感信息。

特别说明：

1、基础奖励、重点奖励互不叠加

2、情报类和隐私合规类漏洞不参与本次任何活动

测试注意事项：

1、严禁进行物理测试、社会工程学测试等任何非技术漏洞测试

2、严禁使用扫描器或其他自动化工具

3、以安全测试为借口，利用漏洞进行损害用户利益、影响业务正常运作、私自公开、盗取用户数据等行为的，将不会计分，同时中通安全应急响应中心将保留采取进一步法律行动的权利

4、中通SRC对本次活动保留最终解释权