Google 近日宣布对其 Android 与 Chrome 的漏洞奖励计画(Bug Bounty Program)进行重大改版。为了因应 AI 技术快速发展,Google 将大幅提高针对“最高难度漏洞”的悬赏金额,最高可达 150 万美元;同时,对于那些现在能轻易被 AI 发现的漏洞,则相应下调了奖金标准。
1. 顶级漏洞悬赏金翻倍
Google 将资源集中于那些对系统影响最深远、且极度难以被攻破的顶级安全漏洞:
- Android 最高奖金(150 万美元):这笔顶级奖金专门保留给针对 Pixel Titan M2 安全芯片的“零点击 (Zero-click) 全链路漏洞”,并且攻击必须具备“持久性 (Persistence)”。这也是该计画中技术难度最高的攻击场景。若能达成相同漏洞攻击但缺乏持久性,依然可获得高达 75 万美元 的丰厚奖励。
- Chrome 奖金升级:在最新作业系统与硬件上,成功执行全链路浏览器进程攻击的资安研究员,最高可获得 25 万美元。如果攻击能成功破解受 MiraclePtr 保护的内存分配机制,还能额外获得 250,128 美元 的特别奖金。
2. AI 改变了回报与审核游戏规则
随着生成式 AI 让撰写详尽的漏洞分析报告变得轻而易举,Google 改变了对漏洞回报的要求:
- 重质不重量:Google 针对 Chrome 计画的审查重点,将转向简洁扼要的报告。研究人员只需提供核心的错误证明(Bug proofs)与必要的关键证据,不再需要提交冗长的书面分析。
- 内部 AI 辅助:Google 内部工具也进化,现在能自动解释漏洞并提出修复建议,这也是缩减长篇报告需求的原因之一。
- Android 审查聚焦:未来的重点将缩小至 Google 维护组件中的 Linux 核心漏洞;除非研究员能具体证明该漏洞在 Android 装置上具备实际的“可利用性”,否则一般性漏洞的审查优先级将被调降。
3. 屡创纪录的奖金发放规模
尽管调降了部分低门槛漏洞的奖金,但 Google 对整体投资仍持续扩大:
- 2025 年创下历史新高:Google 在去年共向 747 位资讯安全研究员发放了高达 1,710 万美元 的奖金,比 2024 年大幅增长了超过 40%。
- 累计发放破纪录:自该计画于 2010 年启动以来,Google 累计发放的奖金总额已超过 8,160 万美元。
- 2026 年展望:Google 预估,尽管单一低阶漏洞的奖金减少,但 2026 年整体发放的总奖金规模仍将持续成长,显示其重金招揽顶尖骇客协助防御的决心。
