"Мы очень ценим сотрудничество с исследователями": Google будет платить до $1,5 млн за обнаружение уязвимостей в Android и Chrome
Google теперь предлагает до $1,5 млн вознаграждения тому, кто найдет самые серьезные эксплойты для Android, тогда как «менее значимые» уязвимости — те, что можно обнаружить и описать с помощью ИИ, — получают пропорционально сниженную оценку.
Инженеры Google объявили об изменениях в программах вознаграждений за уязвимости Android и Chrome, сообщив, что отныне будут выплачивать до $1,5 млн тому, кто сможет найти zero-click-эксплойт с полной цепочкой для взлома Pixel Titan M2 с сохранением персистентности. Те, кто найдет ту же уязвимость, но без персистентности, могут рассчитывать на выплату до $750 000.
«Мы пересматриваем охват нашей программы, чтобы сделать акцент на категориях, представляющих наивысший риск для наших пользователей, — заявила Google. — Мы также предоставляем приоритет категориям, которые остаются более сложными для обнаружения автоматизированными инструментами ИИ, чтобы гарантировать, что мы вознаграждаем исследователей за их уникальные навыки и таланты».
Контекст этих изменений — существенная трансформация рынка обнаружения уязвимостей. За последние годы ИИ и автоматизация заметно ускорили темпы обнаружения уязвимостей: компания отмечает, что современные инструменты значительно упростили возможность взять тестовый случай, объяснить первопричину, предложить соответствующее исправление и найти варианты известных проблем.
«Параллельно программа Internet Bug Bounty (IBB) недавно приостановила прием новых заявок из-за шквала отчетов, сгенерированных с помощью ИИ — то есть проблема касается всей отрасли, а не только Google», — пишут Security Affairs.
В дальнейшем приложение Android также больше сосредоточится на уязвимостях ядра Linux в компонентах, которые поддерживает Google, — за исключением случаев, когда исследователи могут доказать, что уязвимости можно использовать на устройстве Android.
Обновление приложения Chrome
Программа вознаграждений Chrome также претерпела изменения. Google теперь предлагает до $250 000 за полноцепочечные эксплойты браузерного процесса на новейших операционных системах и аппаратном обеспечении, а также до $250 128 бонуса за отчет, в котором успешно эксплуатируется выделение памяти, защищенное механизмом Miracle Ptr.
«В то же время компания отменяет дополнительные вознаграждения за renderer RCE и уязвимости произвольного чтения/записи — бонусы, которые ранее ввели для поощрения представления отчетов и подтверждения возможности эксплуатации», — добавляют Help Net Security.
Программа выплат за обнаружение уязвимостей Google в прошлом году достигла рекордных показателей. Компания выплатила $17,1 млн 747 исследователям в 2025 году — это более чем на 40% больше, чем годом ранее. В целом с момента запуска программы в 2010 году Google выплатила более $81 млн и ожидает, что общая сумма за 2026 год будет выше — несмотря на снижение размеров отдельных выплат.
«Новые правила также обязывают исследователей включать в отчеты предложенные патчи для устранения выявленных проблем. Таким образом, Google пытается перейти от модели «найди и сообщи» к более практически ориентированному сотрудничеству, где исследователь не просто фиксирует уязвимость, но и предлагает конкретный путь к ее исправлению», — отмечает TechRadar.
Компания также обновляет тестовую инфраструктуру — в частности, готовит новые сборки Chrome специально для исследователей, рассчитанные на демонстрацию проблем с доступом к памяти и утечке информации.
СпецпроектыБеріть участь у конкурсі авторських статей від Proove: вигравайте крутий електросамокат та інші призиРесайкл-споти Києва: куди нести техніку, батарейки і гаджетиGoogle Translate виповнилося 20 років: у додатку з’явився тренажер вимови з ШІ-зворотним зв’язком
Источник: TechRadar
Схожі новини
