Google предлагает до $1,5 млн за обнаружение некоторых уязвимостей в Android

Google пересматривает свои программы вознаграждения за обнаружение уязвимостей в Android и Chrome. Компания предлагает ^[1] вознаграждение до $1,5 млн за выявление самых сложных эксплойтов, одновременно сокращая выплаты за уязвимости, которые стало проще обнаруживать при помощи искусственного интеллекта ^[2].

Вознаграждение в $1,5 млн полагается для эксплойтов, позволяющих без нажатий (zero-click) взломать всю цепочку уязвимостей чипа безопасности Pixel Titan M2 и обеспечить закрепление в системе. Это самый технически сложный сценарий атаки в программе Google, в то время как за аналогичные эксплойты, но без закрепления, можно получить до $750 тыс.

В Chrome за использование уязвимостей, затрагивающих всю цепочку процессов браузера на современных операционных системах и оборудовании, компания теперь начисляет до $250 тыс. Дополнительно предусмотрен бонус в размере $250 тыс. за успешное использование уязвимостей в областях памяти ^[3], защищённых механизмом MiraclePtr.

В рамках программы Chrome компания смещает акцент на краткие отчёты, содержащие только доказательства ошибок и ключевые артефакты, вместо длинных письменных анализов, которые теперь может автоматически генерировать ИИ.

Программа Android также сосредоточится на уязвимостях ядра Linux в компонентах, поддерживаемых Google, если исследователи смогут показать конкретную возможность эксплуатации этих недостатков на Android-устройствах.

Пересмотр программы вознаграждения за обнаружение уязвимостей последовал за рекордным годом для инициативы Google по поиску багов. За 2025 год корпорация выплатила ^[4] 747 исследователям $17,1 млн — на 40% больше ^[5], чем годом ранее. Сумма прошлого года стала историческим максимумом.

Общая сумма выплат с момента запуска этой программы в 2010 году превысила $81,6 млн. Google прогнозирует увеличение общей суммы вознаграждений в 2026 году, несмотря на сокращение размера некоторых индивидуальных выплат.