Google оновила програму винагород за вразливості в Android і тепер готова платити до 1.5 мільйона доларів за найскладніші експлойти. Компанія робить ставку на дослідників, щоб знаходити критичні дірки раніше за зловмисників.
Google переглянула підхід до своїх програм винагород за вразливості в Android і Chrome. Компанія підняла максимальні виплати до 1,5 мільйона доларів за найскладніші експлойти, але водночас зменшила винагороди за ті помилки, які стало легше знаходити завдяки штучному інтелекту.
Найбільші гроші тепер пропонують за повноцінні ланцюжки атак на чип безпеки Pixel Titan M2. Йдеться про найскладніший сценарій, коли зловмисник може отримати доступ без взаємодії користувача, навіть без натискання кнопки «зберегти». За такі знахідки Google готова платити до 1,5 мільйона доларів. Якщо ж аналогічний експлойт вимагає додаткової дії, максимальна винагорода знижується до 750 тисяч.
Окремо оновили умови для Chrome. Повні ланцюжки експлойтів, які дозволяють зламати процеси браузера на сучасних системах, тепер оцінюються до 250 тисяч доларів. Додатково можна отримати ще 250 128 доларів бонусу, якщо атака обходить захист пам’яті MiraclePtr.
У Google пояснюють, що такі рішення пов’язані зі зміною підходу до досліджень.
«Ми знаємо, що деякі особливо вражаючі розробки залишаються неймовірно складними для реалізації, і ми дуже цінуємо співпрацю з дослідницькою спільнотою для їх виявлення та розкопок», – зазначили в Google.
«Ми хочемо розвивати це партнерство, продовжуючи наголошувати на найвищих рівнях винагород як в Android, так і в Chrome».
Водночас Google поступово відходить від заохочення довгих текстових звітів. У програмі для Chrome тепер роблять ставку на «зрілі» репорти з конкретними доказами та технічними артефактами, без зайвої теорії. Причина проста: детальні описи сьогодні легко генеруються за допомогою ШІ, і вони вже не є показником якості дослідження.
Зміни торкнулися й Android. Компанія звужує фокус до вразливостей ядра Linux у компонентах, які вона підтримує. Якщо дослідник не може показати, як саме баг експлуатується на реальному Android-пристрої, шанс отримати винагороду значно знижується.
У Google прямо визнають вплив штучного інтелекту на галузь.
«Хоча штучний інтелект спростив створення довгих, детальних описів, наші внутрішні інструменти також еволюціонували, щоб допомогти нам автоматично пояснювати та пропонувати виправлення помилок», – додали в компанії.
Перегляд програми відбувся після рекордного року. У 2025 році Google виплатила 17,1 мільйона доларів 747 дослідникам, що більш ніж на 40 відсотків перевищує показник попереднього року і стало найбільшим результатом за всю історію програми.
Загалом з моменту запуску у 2010 році компанія виплатила понад 81,6 мільйона доларів. І хоча окремі винагороди тепер можуть бути нижчими, у Google очікують, що загальна сума виплат у 2026 році знову зросте.
