Google пересматривает свои программы вознаграждения за обнаружение уязвимостей в Android и Chrome. Компания предлагает вознаграждение до $1,5 млн за выявление самых сложных эксплойтов, одновременно сокращая выплаты за уязвимости, которые стало проще обнаруживать при помощи искусственного интеллекта.
Вознаграждение в $1,5 млн полагается для эксплойтов, позволяющих без нажатий (zero-click) взломать всю цепочку уязвимостей чипа безопасности Pixel Titan M2 и обеспечить закрепление в системе. Это самый технически сложный сценарий атаки в программе Google, в то время как за аналогичные эксплойты, но без закрепления, можно получить до $750 тыс.
В Chrome за использование уязвимостей, затрагивающих всю цепочку процессов браузера на современных операционных системах и оборудовании, компания теперь начисляет до $250 тыс. Дополнительно предусмотрен бонус в размере $250 тыс. за успешное использование уязвимостей в областях памяти, защищённых механизмом MiraclePtr.
В рамках программы Chrome компания смещает акцент на краткие отчёты, содержащие только доказательства ошибок и ключевые артефакты, вместо длинных письменных анализов, которые теперь может автоматически генерировать ИИ.
Программа Android также сосредоточится на уязвимостях ядра Linux в компонентах, поддерживаемых Google, если исследователи смогут показать конкретную возможность эксплуатации этих недостатков на Android-устройствах.
Пересмотр программы вознаграждения за обнаружение уязвимостей последовал за рекордным годом для инициативы Google по поиску багов. За 2025 год корпорация выплатила 747 исследователям $17,1 млн — на 40% больше, чем годом ранее. Сумма прошлого года стала историческим максимумом.
Общая сумма выплат с момента запуска этой программы в 2010 году превысила $81,6 млн. Google прогнозирует увеличение общей суммы вознаграждений в 2026 году, несмотря на сокращение размера некоторых индивидуальных выплат.
Автор: Travis_Macrif
