谷歌宣布，2024年向超過(guò)600名報(bào)告漏洞的安全研究人員支付了180萬(wàn)美元。自該公司的漏洞懸賞計(jì)劃啟動(dòng)以來(lái)，累計(jì)支付的獎(jiǎng)金已超過(guò)6500萬(wàn)美元。

漏洞懸賞計(jì)劃獎(jiǎng)勵(lì)大幅提升

去年，谷歌將其漏洞獎(jiǎng)勵(lì)計(jì)劃（Vulnerability Reward Program, VRP）的最高獎(jiǎng)勵(lì)提高至51,515美元。對(duì)于該公司最大移動(dòng)應(yīng)用中的嚴(yán)重漏洞，移動(dòng)漏洞獎(jiǎng)勵(lì)計(jì)劃（Mobile VRP）的最高獎(jiǎng)勵(lì)可達(dá)30萬(wàn)美元。同時(shí)，云漏洞獎(jiǎng)勵(lì)計(jì)劃（Cloud VRP）的最高獎(jiǎng)金也提升至51,515美元，而Chrome瀏覽器中的安全漏洞最高獎(jiǎng)勵(lì)可達(dá)25萬(wàn)美元。

此外，谷歌將發(fā)現(xiàn)繞過(guò)MiraclePtr方法的獎(jiǎng)勵(lì)翻倍至250,128美元，并推出了kvmCTF計(jì)劃，該計(jì)劃為基于內(nèi)核的虛擬機(jī)管理程序中的漏洞提供最高25萬(wàn)美元的獎(jiǎng)勵(lì)。2024年支付的最大一筆獎(jiǎng)金為10115美元，用于獎(jiǎng)勵(lì)在Chrome中發(fā)現(xiàn)繞過(guò)MiraclePtr的方法。

多領(lǐng)域漏洞獎(jiǎng)勵(lì)成效顯著

谷歌還宣布，其濫用漏洞獎(jiǎng)勵(lì)計(jì)劃（Abuse VRP）在2024年的支付金額同比增長(zhǎng)了40%，基于超過(guò)250個(gè)針對(duì)谷歌產(chǎn)品濫用和誤用問(wèn)題的有效漏洞報(bào)告，累計(jì)支付了超過(guò)29萬(wàn)美元的獎(jiǎng)金。

在Android和谷歌移動(dòng)應(yīng)用中，針對(duì)嚴(yán)重漏洞的獎(jiǎng)勵(lì)總額超過(guò)330萬(wàn)美元，且報(bào)告的關(guān)鍵漏洞和高危漏洞數(shù)量同比增長(zhǎng)了2%。

云漏洞獎(jiǎng)勵(lì)計(jì)劃（Cloud VRP）于2023年10月啟動(dòng)，用于報(bào)告谷歌云服務(wù)中的漏洞，基于超過(guò)200個(gè)獨(dú)特的安全漏洞，累計(jì)支付了50萬(wàn)美元的獎(jiǎng)金。

基于超過(guò)150份報(bào)告生成式AI漏洞獎(jiǎng)勵(lì)計(jì)劃，目前已支付了5.5萬(wàn)美元的獎(jiǎng)金，而一次實(shí)時(shí)的LLM黑客活動(dòng)更額外支付了8.7萬(wàn)美元的獎(jiǎng)勵(lì)。

自2010年啟動(dòng)漏洞懸賞計(jì)劃以來(lái)，谷歌已累計(jì)向安全研究人員支付了6500萬(wàn)美元的獎(jiǎng)金。