グーグルは、AndroidとChromeの脆弱性報奨金プログラムを一新し、最も困難なエクスプロイトに対して最高150万ドルの報奨金を提供する一方、人工知能(AI)によって発見が容易になった欠陥に対する報奨金を縮小する。
最高額の150万ドルの報奨金は、ゼロクリックによるPixel Titan M2セキュリティチップのフルチェーンエクスプロイト(永続性あり)に対するもので、このプログラムでは最も技術的に困難な攻撃シナリオとなっている。
グーグル・クローム側では、最新のオペレーティング・システムとハードウェア上でのブラウザ・プロセスのフルチェーン・エクスプロイトに最高25万ドル、さらにMiraclePtrで保護されたメモリ割り当てのエクスプロイトに成功すると25万128ドルのボーナスが加算される。
「私たちは、特定の特にインパクトのあるエクスプロイトを達成することが信じられないほど困難なままであることを知っており、それらを発見し、発掘するために研究者コミュニティと協力してきたことに非常に感謝しています」とGoogleは述べている。
「私たちは、AndroidとChromeの両方で最高レベルの報酬を強調し続けることによって、このパートナーシップを構築したいと考えています。
Chromeプログラムでは、グーグルは、AIが自動生成できるようになった長文の分析ではなく、バグ証明と必要不可欠な成果物のみを含む簡潔なレポートに重点を移す。
Androidプログラムでは、研究者がAndroidデバイスでの具体的な悪用可能性を実証しない限り、Googleが保守するコンポーネントのLinuxカーネルの脆弱性に焦点を絞る。
「AIが長くて詳細な報告書を簡単に作成できるようになった一方で、我々の内部ツールも進化し、バグの説明や修正を自動的に提案できるようになりました」と同社は付け加えた。
この脆弱性報奨金プログラムの再編は、グーグルのバグ報奨金活動にとって記録的な年に続くもので、同社は2025年に747人の研究者に1,710万ドルを支払った。
これにより、2010年のプログラム開始以来の報酬総額は8160万ドル以上となり、Googleは、一部の個別の報酬額が減少するにもかかわらず、2026年に支払われる報酬総額は増加すると予測している。
.article-callout { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; overflow: hidden; } .article-media { flex: 1; max-width: 220px; display: flex; } .article-media a { display: flex; width: 100%; height: 100%; } .article-media img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; display: block; } .article-callout .article-media img { margin-top: 0 !important; height: 100% !important; } .article-body { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .article-body h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .article-body p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .article-link { background-color:#border:color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; padding:10px 20px; width: fit-content; } @media (max-width: 600px) { .article-callout { flex-direction: column; align-items: center; } .article-media { max-width: 100%; } .article-media img { border-radius: 8px 8px 0 0; } .article-body { padding:.article-body { padding: 15px; width: 100%; } .article-link { width: 100%; margin: 0 auto; box-sizing: border-box; } } .
Mythosが発見した問題の99%はまだ未パッチである。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments