13 марта 2026, 13:17
Google подвела итоги программы баг-баунти

Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в Chrome, Android, приложениях Google Play, продуктах компании и открытом ПО. Всего в 2025 году разработчики получили $17,1 млн, что на $5,3 млн больше, чем в 2024-м. Компания отметила 747 исследователей против 660 в 2024 году.
Так, $2,9 млн было выплачено за уязвимости в Android. За информацию об уязвимостях в браузере Chrome авторы получили 100 премий на общую сумму $3,7 млн. Баги в открытых проектах оценили в $327 тысяч. На уязвимости в облачных продуктах пришлось $3,5 млн, а в ИИ-продуктах — $890 тысяч.

Размер самой большой единичной выплаты составил $250 тысяч. Её получил разработчик, который обнаружил логическую ошибку в IPC-механизме Chrome, позволившую создать эксплоит для выполнения кода в обход применяемой в браузере sandbox-изоляции.
Равным образом исследователи Chrome углубились в песочницу v8, обнаружив некоторое количество уязвимостей и предоставив команде v8 новые способы обхода защиты. Для достижения этой цели они создали новые механизмы внутрипроцессной инструментации и внедрения ошибок, работая на переднем крае академических исследований в области фаззеров.
Исследователи равным образом выявили новые логические ошибки в реализациях Gemini на устройствах, включая креативные способы обхода блокировки экрана. Организация отдельно отметила отчет lovepink о критическом прорыве в разработке прошивки, обойдя множество уровней многоуровневой защиты и скомпрометировав движок с помощью графического процессора.
В рамках мероприятий bugSWAT запустили отдельное направление для Google Cloud, разработанной для решения уникальных проблем безопасности в облачной экосистеме.
В сфере опенсорса исследователи сосредоточились на компрометации безопасности цепочки поставок. В итоге в Google предотвратили запускание опасных рабочих процессов GitHub Actions для непроверенного кода с использованием значительного класса уязвимостей, добавив общеорганизационные средства контроля. Главное вознаграждение было присуждено за обнаружение компрометации цепочки поставок в Bazel Central Registry (BCR). Фактически, злоумышленник мог обойти весь конвейер BCR, распространяя вредоносные пакеты Bazel и отравляя любую её сборку.
В 2024 году Google выплатила $11,8 млн по программе баг-баунти. Тогда самая большая выплата составила $110 115 за обход механизма защиты MiraclePtr. Максимальный размер премии за выявление критических уязвимостей в 2024 году в Google увеличили до $151,5 тыс. в основных линейках продуктов, облачных системах и сервисах Google, а также до $300 тыс. в мобильных системах и до $250 тыс. в браузере Chrome.
Осенью 2025 года Google запустила новую программу вознаграждений, специально предназначенную для поиска ошибок в продуктах с искусственным интеллектом. Величина наград может достигать $30 тысяч.
Читают сейчас

18 минут назад
Глава Microsoft AI теперь полагает, что ИИ не заменит офисных сотрудников полностью
Глава подразделения Microsoft AI Мустафа Сулейман высказался в мягком тоне о том, что ИИ заменит офисных сотрудников. В свежем выпуске подкаста Decoder топ‑менеджер объявил, что на самом деле имел в в

21 минуту назад
IPO SpaceX сделало Маска первым триллионером, а 4400 сотрудников компании — миллионерами
Илон Маск стал первым долларовым триллионером в истории. После того как SpaceX зафиксировала цену своего первичного размещения, состояние главы компании превысило $1,1 трлн. Сегодня, 12 июня, акции ко

50 минут назад
Альтман признал, что ИИ стал слишком дорогим. OpenAI готовит падение цен против Anthropic
OpenAI рассматривает резкое снижение цен на токены — об этом говорит The Wall Street Journal со ссылкой на источники, знакомые с обсуждением. Примечательна логика шага: в OpenAI ожидают, что на удешев

2 часа назад
Lenovo с июля повысит цены на свою технику
По данным китайских СМИ, Lenovo со следующего месяца повысит цены на всю свою технику. Компания приняла это решение на внутреннем рабочем совещании ещё в мае этого года. Читать далее

2 часа назад
Moonshot AI выпустили Kimi-K2.7-Code
Moonshot AI выпустили Kimi-K2.7-Code — новую версию своей coding-модели на базе K2.6. Веса открыты на HuggingFace под лицензией Modified MIT. По бенчмаркам прирост по сравнению с K2.6 составил +21.8%