Google снизила базовую выплату за ошибки безопасности памяти в Chrome до $500. Дальше сумма растёт за счёт множителей: учитываются возможность для атакующего добраться до бага и эксплуатировать его, а также качество доказательств. То есть объёемный отчёт сам по себе больше не тянет на крупную выплату. Нужен воспроизводимый пример, артефакты и понятное подтверждение, что уязвимость существует.
Читайте также: OpenAI запустила bug bounty для GPT-5.5: $25 000 за универсальный jailbreak в биобезопасности
При этом верхняя планка для сложных атак на Chrome сохраняется. Полная цепочка эксплуатации Chrome по-прежнему может принести до $250 000. Такой же максимум указан для обхода защиты MiraclePtr — механизма, который снижает риск эксплуатации ошибок use-after-free, когда программа обращается к уже освобождённой памяти.
Google также убрала часть бонусов, введённых в 2024 году для уязвимостей с произвольным чтением/записью памяти и удалённым выполнением кода. Компания объясняет это ростом числа ИИ-сгенерированных отчётов: внутренние инструменты Google уже помогают автоматически разбирать баги и предлагать исправления, поэтому приоритет смещается к коротким, проверяемым и технически сильным заявкам.
Android, наоборот, получил больше внимания. В правилах Android and Google Devices Security Reward Program максимальные выплаты завязаны на редкие и надёжно показанные цепочки эксплуатации: например, zero-click RCE, утечки данных из изолированных компонентов и атаки на предварительные версии Android. Zero-click RCE — это удалённое выполнение кода без действий пользователя: без клика по ссылке, установки файла или открытия вложения.
Напомним, что в 2025 году Google выплатила исследователям более $17 млн, это рекорд для её Vulnerability Reward Program, рост составил более чем 40% по сравнению с 2024 годом. В 2024 году сумма была чуть меньше $12 млн, деньги получили более 600 исследователей.
ИИ-направление уже стало отдельной частью программы. В 2025 году Google запустила самостоятельную AI Vulnerability Reward Program для уязвимостей в ИИ-продуктах, включая Gemini Apps, Google Search и приложения Google Workspace. За качественный отчёт можно получить до $30 000, базовый максимум для критичных сценариев — до $20 000.
Мы видим, как с развитием ИИ-инструментов простые и массовые находки дешевеют, особенно в Chrome. Дорогими остаются цепочки, которые реально показывают компрометацию, обход защит и риск для пользователей.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
