每一行代码的背后,是对信任的承诺。
微信、微信支付、腾讯QQ、腾讯云、腾讯蓝鲸智云、腾讯混元、腾讯广告——这些产品承载着数亿人的沟通、交易、计算、运维与创意。从社交聊天到金融支付,从云基础设施到企业级运维平台,从大模型能力到商业推荐系统,任何一个环节的安全短板,都可能成为攻击链的起点。
这一次,腾讯多个产品团队联合TSRC,正式启动 腾讯产品安全众测专项。
我们开放真实业务场景,邀请你深入测试、实战验证、风险挖掘——用最硬核的方式,找出那些潜藏在高并发、复杂逻辑与海量数据中的真实威胁。
福利一:
提交活动范围内的高危、严重漏洞最高获4倍安全币(部分业务/功能2倍安全币)。
严重漏洞最高超5万元。
高危漏洞最高超2万元。
福利二:
为腾讯核心或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励(重点业务1~3万元,核心业务1~6万元)。
福利三:
提交活动范围内的漏洞,经评估有特殊贡献将获得业务额外奖励,具体金额根据实际贡献评定。
福利四:
提交更加清晰明确、利用思路新颖、手法独特等的特别贡献安全报告,还将额外获得高质量报告奖励(最高5000元)。
|活动时间
2026.5.25 - 2026.6.5
|活动范围
本次众测覆盖腾讯多个产品(微信、微信支付、腾讯QQ、腾讯云、腾讯蓝鲸智云、腾讯混元、腾讯广告),众测翻倍奖励需同时满足特定业务范围、特定漏洞类型的条件。
Part 微信业务
| |业务范围<微信> * 微信活动一百万奖金池激励,先到先得! -【符合微信核心功能4倍激励】微信客户端、微信登录、聊天、朋友圈、音视频、视频号、直播、小程序、游戏(小程序只收取影响小程序框架的高危漏洞)、微信支付(微信钱包,微信支付境外和境内商户平台等)。 -【指定功能高危以上漏洞2倍激励】微信全线业务,包含微信、企业微信、微信读书、微信输入法、微信支付等各客户端及平台服务应用(不含电商) - 微信支付重点资产范围: 1)微信客户端的微信支付核心功能:实名开户、银行卡、委托代扣、亲属卡、支付分、零钱、账单、数字人民币、客服中心; * 功能路径:个人版微信客户端的微信支付入口 * 实名开户功能:我->服务->钱包->页面底部“身份信息” * 银行卡功能:我->服务->钱包->银行卡 * 委托代扣功能:我->服务->钱包->支付设置->免密支付和Apple服务扣费 * 亲属卡功能:我->服务->钱包->亲属卡 * 支付分功能:我->服务->钱包->支付分 * 零钱功能:我->服务->钱包->零钱 * 账单功能:我->服务->钱包->账单;搜索“ 微信记账本小程序” * 数字人民币功能:我->服务->钱包->数字人民币 * 客服中心功能:我->服务->钱包->客服中心 2)微信支付境外商户平台:登录前功能、登录后功能; * 如:境外商户入驻、境外商户宣传首页、API密钥管理、交易/退款、子商户管理、营销类等功能。 * 入口:https://pay.weixin.qq.com/index.php/public/wechatpay_en/ 3)微信支付商户平台:商户入驻、支付产品、运营工具; * 如:商户入驻、JSAPI支付、服务商付款条码支付、H5支付、刷脸支付、服务商充值立减折扣、服务商免充值代金券、服务商支付即服务、服务商微信支付分、服务商商家转账、服务商现金红包等。 * 商户入驻-入口:https://pay.weixin.qq.com/index.php/apply/applyment_home/guide_normal * 支付产品-入口:https://pay.weixin.qq.com/index.php/extend/product/lists?tid=12 4)微信支付电子发票; * 入口:【微信发票助手】小程序、【微信发票商户助手】小程序、【出租车助手】小程序; * 微信支付商户平台:https://pay.wechatpay.cn/index.php/public/product/detail?pid=75&productType=0&category=2 5)微信支付交通卡和车主服务; * 入口:我->小店与卡包->卡包->交通卡;搜索“微信车主服务小程序” |
| |漏洞类型<微信> - 客户端RCE漏洞,要求可以获取微信客户端程序权限。 - 服务器RCE漏洞,要求可以获取腾讯自营业务服务器权限。 - 用户重要敏感数据泄露,可导致大量(十万条以上)用户敏感数据泄露(如:用户真实姓名、身份证、手机号、住址、交易记录、医疗信息等等),要求包含两个及以上敏感字段。  |
Part 腾讯QQ
| |业务范围< 腾讯QQ > -【符合活动范围内高危严重漏洞4倍激励】QQ钱包、QQ基础功能(如注册、登录、账号、关系链、聊天、群功能等) -【符合活动范围内高危严重漏洞2倍激励】频道、QQ空间、QQ相册、QQ文件、QQ收藏、QQ会员、个性装扮、QQ秀、QQ闪传、小Q。
|
| |漏洞类型< 腾讯QQ > - 系统自身通用漏洞、可造成高危及以上风险的越权漏洞。 - 客户端批量0-click RCE漏洞,要求可以获取QQ客户端程序权限。 - 服务器RCE漏洞,要求可以获取腾讯自营业务服务器权限。 - 用户重要敏感数据泄漏,可导致大量(十万条以上)用户敏感数据泄漏(如:用户真实姓名、身份证、手机号、住址、交易记录、医疗信息等等),要求包含两个及以上敏感字段。 |
Part 腾讯云
| |业务范围< 腾讯云 > - 【符合活动范围内高危严重漏洞4倍激励】元宝、IMA、QClaw、ADP、CodeBuddy、CloudBase、电脑管家、腾讯会议、输入法、浏览器、腾讯地图。 * 优先处理:命令执行、沙箱逃逸类漏洞。 * 不收录:沙箱内执行、无法横向利用的问题。 * 需提前报备:服务端高危操作测试。 |
| |漏洞类型< 腾讯云 > - 客户端RCE漏洞,要求可以获取腾讯云相关业务客户端程序权限。 - 服务器RCE漏洞,要求可以获取腾讯自营业务服务器权限。 - 用户重要敏感数据泄露,可导致大量(十万条以上)用户敏感数据泄露(如:用户真实姓名、身份证、手机号、住址、交易记录、医疗信息等等),要求包含两个及以上敏感字段。 |
Part 蓝鲸智云
| |业务范围< 腾讯蓝鲸智云> - 【符合活动范围内高危严重漏洞4倍激励】腾讯蓝鲸智云指定产品范围如下:蓝鲸智云社区版 7.2,包括运维自动化基础产品,容器管理平台,监控平台,持续集成平台,代码分析。 注: 本次众测范围仅限上述列明的腾讯蓝鲸智云官网可下载产品/组件,版本范围仅限腾讯蓝鲸智云 V7.2 官方发布版本。 参与者需自行前往腾讯蓝鲸智云官网下载 V7.2 官方发布包:https://bk.tencent.com/ ,并自行完成本地部署和安全验证。 参与者可将对应开源代码作为辅助分析材料开展源码审计,但漏洞有效性不以开源仓库代码为准,必须以腾讯蓝鲸智云 V7.2 官方发布包本地部署环境中的稳定复现结果为准。 - 漏洞提交需同时满足以下条件: 1)漏洞必须真实存在于腾讯蓝鲸智云 V7.2 官方发布包中,并能够在本地部署环境中稳定复现; 2)漏洞报告需明确说明受影响产品/组件名称、V7.2 官方发布包版本信息、触发路径、复现步骤、前置条件及安全影响; 3)如报告基于源码审计发现问题,建议补充源码位置、调用链和关键代码证据; 4)如漏洞依赖特定配置、特定权限、非默认部署方式、可选组件、特定组件组合或特殊运行条件,需在报告中完整说明前置条件。评审时将结合默认部署状态、实际暴露面、利用难度、权限要求、攻击链完整性和安全影响进行综合判断。 - 注意事项: 1)本次活动不提供官方测试环境,参与者需基于 V7.2 官方发布包自行完成本地搭建与验证。 2)开源代码仅作为审计参考,不作为漏洞成立依据;如开源仓库 master / main 分支、历史分支、开发分支、测试代码、示例代码等与 V7.2 官方发布包不一致,以 V7.2 官方发布包为准。 3)仅基于源码片段推测、无法在本地部署的 V7.2 官方发布包中复现、无法证明真实可达调用链或安全影响的问题,不纳入有效漏洞范围。 4)未经授权,不得对腾讯生产环境、客户环境、第三方部署实例、非活动范围资产进行扫描、利用、破坏性测试、数据读取、权限维持或横向移动。 |
| |漏洞类型< 腾讯蓝鲸智云 > 本次活动仅收集蓝鲸平台服务端 RCE 类高危漏洞,包括命令注入、代码执行、远程命令执行、任意命令执行,以及可最终导致服务端 RCE 的任意文件写入、路径穿越写入、反序列化、模板注入、表达式注入等利用链问题。 业务自有流水线、构建 Pod 内的预期命令/代码执行不纳入范围,除非可进一步越权影响平台组件、其他租户、宿主机或平台权限。 |
Part 混元&广告
|业务范围< 腾讯混元、腾讯广告 >| |漏洞类型< 腾讯混元、腾讯广告 > - 客户端RCE漏洞,要求可以获取混元或广告客户端程序权限。 - 服务器RCE漏洞,要求可以获取腾讯自营业务服务器权限。 - 用户重要敏感数据泄露,可导致大量(十万条以上)用户敏感数据泄露(如:用户真实姓名、身份证、手机号、住址、交易记录、医疗信息等等),要求包含两个及以上敏感字段 |
|参与方式
此次测试为预报备制,参与者需在报名入口提前报备,并遵守活动相关规则进行测试,才可享受活动奖励,参与者需同时遵守《漏洞提交基本原则》(详见文末)。
1、提前报备
为方便快速定位,本次众测活动中的所有漏洞测试行为需提前报备,未经提前报备的测试结果不享受活动奖励。
进入链接或扫码报备
https://wj.qq.com/s2/26418158/ymxj/
2、TSRC官网提交
报告名称以“联合众测”开头。
|漏洞提交基本原则
1、未经腾讯授权,您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。如发现相关情形,TSRC有权收回您因该漏洞获得的全部TSRC奖励及福利。
2、测试过程不得损害业务正常运行,不得以测试漏洞借口尝试利用漏洞损害用户利益,影响业务的正常运行或盗取用户数据等行为。
3、禁止内网渗透行为,包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。
4、禁止进行网络拒绝服务攻击,包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。
5、禁止下载和业务相关的敏感数据,包括但不限于源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
6、在测试未限制发送次数的短信功能时,需填写自己的手机号,禁止对其他用户号码进行尝试。
7、禁止使用可能造成业务影响的漏洞尝试工具,包括但不限于 SQLMap 等,使用时需确认不会对业务数据造成破坏性的影响。
8、在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组,相关数据也需在报告后尽快删除。
9、测试越权尝试或其他可能影响用户数据的操作时,需尽可能将尝试控制在自己创建的多个账号生成的内容中,不得影响到线上业务中其他用户的正常数据。
10、禁止通过物理接触、社会工程学、钓鱼、水坑等不涉及 TSRC 奖励计划的非技术漏洞尝试。
11、我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害腾讯系统及腾讯用户的利益的攻击行为,对相关行为我们保留追究法律责任的权利。
12、漏洞测试和提交准则请参照《TSRC漏洞处理和评分标准》、遵守《SRC行业安全测试规范》和《TSRC安全测试规范》。
13、沙箱环境中的代码执行/命令执行本身是预期的产品功能,如果能逃逸或影响到其他用户容器,则正常评分。(有效条件:逃逸到宿主机/物理机,获取有效敏感信息和权限,或证明通腾讯内网;可通过ssrf的方法验证通腾讯内网 )
14、禁止使用违反法律法规的文字、图片、视频等素材进行测试。
|补充说明
在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请添加该漏洞报告中对应的“审核人员联系方式”及时沟通。
腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,更多详情请参照《TSRC漏洞处理和评分标准》、《TSRC暂停收录列表》。
