Google за 2025 год заплатила $17,1 млн участникам программы поиска уязвимостей Vulnerability Reward Program (VRP). Награды получили 747 исследователей безопасности по всему миру. Сумма на 40% превысила показатель 2024 года ($11,8 млн) и стала рекордной за 15 лет работы программы.
Три направления принесли исследователям больше всего. Chrome VRP выплатила $3 716 750 более чем 100 участникам. Максимальная единичная награда составила $250 000 за демонстрацию полной цепочки выхода из песочницы (sandbox escape). Лидер общего рейтинга заработал $811 000 за год.
Читайте также: Роскомнадзор опроверг слухи о полной блокировке VPN, но за три месяца заблокировал 469 сервисов
Google Cloud VRP за первый полный год работы распределила $3 574 399. Программу запустили в октябре 2024 года, 143 исследователя подали 1 774 отчёта. Компания сообщила, что часть из них привела к «значительным архитектурным изменениям в нескольких продуктах Google Cloud».
За уязвимости в Android и устройствах Google выплачено более $2,9 млн.
Это был мастер-класс по исследованию, обход нескольких уровней глубокой защиты для компрометации ядра со стороны GPU. Напоминание о том, что по мере укрепления ОС поле боя смещается к кремнию.
— Google о работе исследователя под ником lovepink, блог Bug Hunters
В Android растёт число ошибок критической и высокой степени тяжести. Google связывает это с переходом платформы на языки с безопасной работой с памятью и аппаратными мерами защиты. Традиционные способы повреждения памяти блокируются, и исследователи ищут новые пути.
С октября 2025 года работает отдельная AI VRP. Google прямо заявила, что «обеспечение безопасности продуктов генеративного ИИ требует специализированных исследований, отличных от традиционных уязвимостей». За неполный год в области ИИ выплачено $350 000, а суммарно по уязвимостям в ИИ-продуктах Google заплатила $890 000. Prompt injection (внедрение команд через промт) и jailbreaks (обход ограничений модели) вынесены за рамки программы.
Один bugSWAT по безопасности ИИ в Токио принёс 70 подтверждённых отчётов на $400 000. Очные мероприятия bugSWAT в Саннивейле, Лас-Вегасе и Мехико принесли около $3 млн, примерно 20% от общей суммы за год.
$17,1 млн на 747 исследователей дают среднюю выплату ~$22 900. Цифра кажется скромной, если учесть, что Google за тот же 2025 год зафиксировала 90 эксплуатируемых в реальных атаках уязвимостей нулевого дня (данные Threat Analysis Group). Для сравнения: лидер рейтинга заработал $811 000, а средний участник программы получил в десятки раз меньше. Распределение выплат крайне неравномерное.
— Адриан Ванс, редакция AnonHaven
Суммы вознаграждений растут быстрее числа участников. В 2023-м Google заплатила $10 млн (632 исследователя), в 2024-м $11,8 млн (660), в 2025-м $17,1 млн (747). Академическая работа Wang et al. (сентябрь 2025) подтвердила эту закономерность. Повышение максимальной награды на 200% в июле 2024 года привело к статистически значимому росту числа и качества сообщений об ошибках.
Проект Curl 31 января 2026 года закрыл программу вознаграждений за уязвимости. Создатель Curl Даниэль Стенберг назвал причиной поток низкокачественных сообщений, сгенерированных ИИ-моделями (AI slop). Менее 5% поступивших за 2025 год оказались подтверждёнными уязвимостями. Google, располагая несопоставимо большими ресурсами, пока наращивает программу.
Читайте также: Глубинный интернет в 2026 году: Tor переписывают на Rust, маркетплейсы закрывают, а анонимность уже не абсолютна
С момента запуска VRP в 2010 году Google суммарно выплатила $81,6 млн. В 2026 году компания планирует новые bugSWAT-мероприятия и конференцию по безопасности ESCAL8. Полный отчёт опубликован в блоге Google Bug Hunters.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.