Google предлагает до $1,5 млн за обнаружение некоторых уязвимостей в Android

Google пересматривает свои программы вознаграждения за обнаружение уязвимостей в Android и Chrome. Компания предлагает вознаграждение до $1,5 млн за выявление самых сложных эксплойтов, одновременно сокращая выплаты за уязвимости, которые стало проще обнаруживать при помощи искусственного интеллекта.

Вознаграждение в $1,5 млн полагается для эксплойтов, позволяющих без нажатий (zero-click) взломать всю цепочку уязвимостей чипа безопасности Pixel Titan M2 и обеспечить закрепление в системе. Это самый технически запутанный сценарий атаки в программе Google, в то время как за аналогичные эксплойты, но без закрепления, можно получить до $750 тыс.

В Chrome за использование уязвимостей, затрагивающих всю цепочку процессов браузера на современных операционных системах и оборудовании, компания теперь начисляет до $250 тыс. Дополнительно предусмотрен бонус в размере $250 тыс. за успешное использование уязвимостей в областях памяти, защищённых механизмом MiraclePtr.

В рамках программы Chrome компания смещает акцент на краткие отчёты, содержащие только доказательства ошибок и ключевые артефакты, вместо длинных письменных анализов, которые теперь может автоматически генерировать ИИ.

Приложение Android также сосредоточится на уязвимостях ядра Linux в компонентах, поддерживаемых Google, если исследователи смогут показать конкретную возможность эксплуатации этих недостатков на Android-устройствах.

Пересмотр программы вознаграждения за обнаружение уязвимостей последовал за рекордным годом для инициативы Google по поиску багов. За 2025 год корпорация выплатила 747 исследователям $17,1 млн — на 40% больше, чем годом ранее. Сумма прошлого года стала историческим максимумом.

Общая сумма выплат с момента запуска этой программы в 2010 году превысила $81,6 млн. Google прогнозирует рост общей суммы вознаграждений в 2026 году, несмотря на сокращение размера некоторых индивидуальных выплат.