IT之家 5 月 7 日消息,近年来有大量用户利用 AI 扫描项目生成漏洞报告试图“广撒网”获取赏金,然而这些报告内容大多为虚假,导致各大平台项目开发者不堪其扰,例如此前 Node.js、cURL 等项目直接宣布暂停安全赏金。
而如今谷歌也为此调整了“Android 与 Google 设备漏洞奖励计划(VRP)”以及“ Chrome 漏洞奖励计划(Chrome VRP)”的规则,新政策保留了“零点击漏洞利用链”“浏览器进程完整攻击链”等高等级奖励项目,但下调了部分奖金,并取消部分额外奖励机制。
在 Android 漏洞奖励方面,谷歌仍保留最高 150 万美元(IT之家注:现汇率约合 1023.7 万元人民币)的奖金档位,适用于可实现零点击漏洞利用链、成功攻破 Pixel Titan M2 安全芯片并具备持久化能力的漏洞。如果同样属于零点击完整攻击链,但不具备持久化能力,最高奖金则为 75 万美元(现汇率约合 511.9 万元人民币)。
Chrome 漏洞奖励方面,研究人员如果能够在最新版操作系统与硬件环境中实现浏览器进程完整攻击链,最高可获得 25 万美元(现汇率约合 170.6 万元人民币)奖金。如果成功利用谷歌认为受到 MiraclePtr 保护的内存分配机制,还可额外获得最高 250,128 美元(现汇率约合 170.7 万元人民币)奖励。
谷歌表示,随着 AI 与自动化工具的发展,漏洞挖掘效率已经明显提升,包括测试样例分析、修复建议生成,以及已知漏洞变种搜索等工作都变得更加容易,这促使其重新设计漏洞奖励计划。因此,在 Android 与 Google 设备 VRP 中,Google 将优先处理那些对用户风险更高、且不易被 AI 工具自动发现的漏洞类型。
同时,针对 Linux 内核漏洞,谷歌也调整了审核重点,更关注由公司自身维护的相关组件。如果漏洞不属于谷歌维护领域,研究人员需要额外提供能够在 Android 设备上实际利用的具体证明。
谷歌表示,虽然此次调整可能导致部分单个漏洞报告的奖金减少,但预计 2026 年整体漏洞奖励计划的奖金支出规模仍将继续增长。