Google 近日宣佈對其 Android 與 Chrome 的漏洞獎勵計畫(Bug Bounty Program)進行重大改版。為了因應 AI 技術快速發展,Google 將大幅提高針對「最高難度漏洞」的懸賞金額,最高可達 150 萬美元;同時,對於那些現在能輕易被 AI 發現的漏洞,則相應下調了獎金標準。
1. 頂級漏洞懸賞金翻倍
Google 將資源集中於那些對系統影響最深遠、且極度難以被攻破的頂級安全漏洞:
- Android 最高獎金(150 萬美元):這筆頂級獎金專門保留給針對 Pixel Titan M2 安全晶片的「零點擊 (Zero-click) 全鏈路漏洞」,並且攻擊必須具備「持久性 (Persistence)」。這也是該計畫中技術難度最高的攻擊場景。若能達成相同漏洞攻擊但缺乏持久性,依然可獲得高達 75 萬美元 的豐厚獎勵。
- Chrome 獎金升級:在最新作業系統與硬體上,成功執行全鏈路瀏覽器進程攻擊的資安研究員,最高可獲得 25 萬美元。如果攻擊能成功破解受 MiraclePtr 保護的記憶體分配機制,還能額外獲得 250,128 美元 的特別獎金。
2. AI 改變了回報與審核遊戲規則
隨著生成式 AI 讓撰寫詳盡的漏洞分析報告變得輕而易舉,Google 改變了對漏洞回報的要求:
- 重質不重量:Google 針對 Chrome 計畫的審查重點,將轉向簡潔扼要的報告。研究人員只需提供核心的錯誤證明(Bug proofs)與必要的關鍵證據,不再需要提交冗長的書面分析。
- 內部 AI 輔助:Google 內部工具也進化,現在能自動解釋漏洞並提出修復建議,這也是縮減長篇報告需求的原因之一。
- Android 審查聚焦:未來的重點將縮小至 Google 維護組件中的 Linux 核心漏洞;除非研究員能具體證明該漏洞在 Android 裝置上具備實際的「可利用性」,否則一般性漏洞的審查優先級將被調降。
3. 屢創紀錄的獎金發放規模
儘管調降了部分低門檻漏洞的獎金,但 Google 對整體投資仍持續擴大:
- 2025 年創下歷史新高:Google 在去年共向 747 位資訊安全研究員發放了高達 1,710 萬美元 的獎金,比 2024 年大幅增長了超過 40%。
- 累計發放破紀錄:自該計畫於 2010 年啟動以來,Google 累計發放的獎金總額已超過 8,160 萬美元。
- 2026 年展望:Google 預估,儘管單一低階漏洞的獎金減少,但 2026 年整體發放的總獎金規模仍將持續成長,顯示其重金招攬頂尖駭客協助防禦的決心。
