谷歌宣布，2024年向超過600名報(bào)告漏洞的安全研究人員支付了180萬美元。自該公司的漏洞懸賞計(jì)劃啟動以來，累計(jì)支付的獎金已超過6500萬美元。

漏洞懸賞計(jì)劃獎勵大幅提升

去年，谷歌將其漏洞獎勵計(jì)劃（Vulnerability Reward Program, VRP）的最高獎勵提高至51,515美元。對于該公司最大移動應(yīng)用中的嚴(yán)重漏洞，移動漏洞獎勵計(jì)劃（Mobile VRP）的最高獎勵可達(dá)30萬美元。同時，云漏洞獎勵計(jì)劃（Cloud VRP）的最高獎金也提升至51,515美元，而Chrome瀏覽器中的安全漏洞最高獎勵可達(dá)25萬美元。

此外，谷歌將發(fā)現(xiàn)繞過MiraclePtr方法的獎勵翻倍至250,128美元，并推出了kvmCTF計(jì)劃，該計(jì)劃為基于內(nèi)核的虛擬機(jī)管理程序中的漏洞提供最高25萬美元的獎勵。2024年支付的最大一筆獎金為10115美元，用于獎勵在Chrome中發(fā)現(xiàn)繞過MiraclePtr的方法。

多領(lǐng)域漏洞獎勵成效顯著

谷歌還宣布，其濫用漏洞獎勵計(jì)劃（Abuse VRP）在2024年的支付金額同比增長了40%，基于超過250個針對谷歌產(chǎn)品濫用和誤用問題的有效漏洞報(bào)告，累計(jì)支付了超過29萬美元的獎金。

在Android和谷歌移動應(yīng)用中，針對嚴(yán)重漏洞的獎勵總額超過330萬美元，且報(bào)告的關(guān)鍵漏洞和高危漏洞數(shù)量同比增長了2%。

云漏洞獎勵計(jì)劃（Cloud VRP）于2023年10月啟動，用于報(bào)告谷歌云服務(wù)中的漏洞，基于超過200個獨(dú)特的安全漏洞，累計(jì)支付了50萬美元的獎金。

基于超過150份報(bào)告生成式AI漏洞獎勵計(jì)劃，目前已支付了5.5萬美元的獎金，而一次實(shí)時的LLM黑客活動更額外支付了8.7萬美元的獎勵。

自2010年啟動漏洞懸賞計(jì)劃以來，谷歌已累計(jì)向安全研究人員支付了6500萬美元的獎金。