Image: HelpNetSecurity.com
Google тепер пропонує до $1,5 млн винагороди тому, хто знайде найсерйозніші експлойти для Android, тоді як “менш значущі” вразливості — ті, що можна виявити й описати за допомогою ШІ, — отримують пропорційно знижену оцінку.
Інженери Google оголосили про зміни в програмах винагород за вразливості Android і Chrome, повідомивши, що відтепер виплачуватимуть до $1,5 млн тому, хто зможе знайти zero-click-експлойт з повним ланцюжком для злому Pixel Titan M2 із збереженням персистентності. Ті, хто знайде ту саму вразливість, але без персистентності, можуть розраховувати на виплату до $750 000.
“Ми переглядаємо охоплення нашої програми, щоб зробити акцент на категоріях, що становлять найвищий ризик для наших користувачів, — заявила Google. — Ми також надаємо пріоритет категоріям, які залишаються більш складними для виявлення автоматизованими інструментами ШІ, щоб гарантувати, що ми винагороджуємо дослідників за їхні унікальні навички та таланти”.
Контекст цих змін — суттєва трансформація ринку виявлення вразливостей. За останні роки ШІ та автоматизація помітно прискорили темпи виявлення вразливостей: компанія зазначає, що сучасні інструменти значно спростили можливість взяти тестовий випадок, пояснити першопричину, запропонувати відповідне виправлення та знайти варіанти відомих проблем.
“Паралельно програма Internet Bug Bounty (IBB) нещодавно призупинила приймання нових заявок через шквал звітів, згенерованих за допомогою ШІ — тобто проблема стосується всієї галузі, а не лише Google”, — пишуть Security Affairs.
Надалі програма Android також більше зосередиться на вразливостях ядра Linux у компонентах, які підтримує Google, — за винятком випадків, коли дослідники можуть довести, що вразливості можна використати на пристрої Android.
Програма винагород Chrome також зазнала змін. Google тепер пропонує до $250 000 за повноланцюжкові експлойти браузерного процесу на найновіших операційних системах і апаратному забезпеченні, а також до $250 128 бонусу за звіт, у якому успішно експлуатується виділення пам’яті, захищене механізмом Miracle Ptr.
“Водночас компанія скасовує додаткові винагороди за renderer RCE та вразливості довільного читання/запису — бонуси, які раніше запровадили для заохочення подання звітів і підтвердження можливості експлуатації”, — додають Help Net Security.
Програма виплат за виявлення вразливостей Google минулого року досягла рекордних показників. Компанія виплатила $17,1 млн 747 дослідникам у 2025 році — це більш ніж на 40% більше, ніж роком раніше. Загалом із моменту запуску програми у 2010 році Google виплатила понад $81 млн і очікує, що загальна сума за 2026 рік буде вищою — попри зниження розмірів окремих виплат.
“Нові правила також зобов’язують дослідників включати до звітів запропоновані патчі для усунення виявлених проблем. Таким чином, Google намагається перейти від моделі “знайди і повідом” до більш практично орієнтованої співпраці, де дослідник не просто фіксує вразливість, а й пропонує конкретний шлях до її виправлення”, — зазначає TechRadar.
Компанія також оновлює тестову інфраструктуру — зокрема, готує нові збірки Chrome спеціально для дослідників, розраховані на демонстрацію проблем із доступом до пам’яті та витоком інформації.
Джерело: TechRadar
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.