Google điều chỉnh chương trình Bug Bounty: Tăng thưởng Android, giảm Chrome trước sự bùng nổ của AI

Google đã thực hiện một cuộc cải tổ toàn diện đối với Chương trình Phần thưởng Lỗ hổng (Vulnerability Reward Programs - VRP) dành cho Chrome và Android. Động thái này được đưa ra như một phản ứng trước sự gia tăng mạnh mẽ trong việc sử dụng các công cụ trí tuệ nhân tạo (AI) để phát hiện lỗ hổng bảo mật.

Đối với chương trình VRP của Android và Thiết bị Google, tập đoàn công nghệ này hiện đang tập trung vào các lỗ hổng có tác động lớn nhất đến người dùng. Google ưu tiên các danh mục lỗi mà các công cụ AI khó có thể phát hiện ra.

Mức thưởng mới cho Android VRP

Về số tiền thưởng, mức trả tối đa đã tăng đáng kể. Cụ thể, phần thưởng cho khai thác lỗ hổng zero-click trên chip Titan M của Pixel với tính năng duy trì quyền truy cập (persistence) đã tăng từ 1 triệu USD lên 1,5 triệu USD. Đối với các cuộc tấn công không có tính duy trì, mức thưởng tăng từ 500.000 USD lên 750.000 USD. Ngoài ra, việc trích xuất dữ liệu từ phần tử bảo mật (secure element) hiện có giá trị lên tới 375.000 USD, tăng so với mức cũ là 250.000 USD.

Google cũng thông báo về việc khuyến khích các báo cáo có tính hành động cao. "Chúng tôi đang chuyển trọng tâm chương trình của mình đối với các lỗ hổng nhân Linux sang các thành phần do Google bảo trì, trừ khi có bằng chứng cụ thể về khả năng khai thác trên Android hoặc thiết bị của chúng tôi. Đối với hầu hết các lỗ hổng, chúng tôi cũng sẽ khuyến khích mạnh mẽ các báo cáo chứa các bản vá đề xuất để giải quyết vấn đề gốc rễ", đại diện Google cho biết.

Ngược lại, đối với các lỗ hổng trên Chrome, mức thưởng tiêu chuẩn đã giảm đáng kể khi công ty chuyển trọng tâm sang các báo cáo thực tế và có thể hành động ngay.

Mức thưởng mới cho Chrome VRP

"Mặc dù AI đã giúp việc tạo ra các bài viết chi tiết trở nên dễ dàng, các công cụ nội bộ của chúng tôi cũng đã phát triển để giúp tự động giải thích và đề xuất bản vá cho các lỗi. Trong tương lai, chúng tôi sẽ chuyển trọng tâm của chương trình để ưu tiên bằng chứng cụ thể rằng lỗi đó tồn tại. Chúng tôi hiện coi các báo cáo hiệu quả nhất là những báo cáo ngắn gọn, chỉ chứa bộ tái tạo (reproducer) và các dữ liệu cần thiết để giúp chúng tôi xác thực và định tuyến vấn đề", Google giải thích.

Cụ thể, phần thưởng cơ bản cho các vấn đề an toàn bộ nhớ hiện là 500 USD, với các hệ số nhân cho các yếu tố như khả năng tiếp cận và mức độ khai thác. Các nhà nghiên cứu bảo mật chỉ ra rằng một số phần thưởng lỗi Chrome hiện nhỏ hơn 10 lần so với trước đây. Công ty cũng tuyên bố sẽ loại bỏ các khoản thưởng bổ sung được giới thiệu năm ngoái cho các lỗ hổng đọc/ghi tùy ý và thực thi mã từ xa do sự gia tăng trong các bài gửi được dẫn dắt bởi AI.

Tuy nhiên, một chuỗi khai thác Chrome hoàn chỉnh vẫn có giá trị lên tới 250.000 USD, với số tiền tương tự được thưởng cho việc vượt qua MiraclePtr.

Mặc dù phần thưởng cho từng lỗi có thể giảm, Google dự kiến sẽ tăng tổng số tiền thưởng tổng hợp cho năm 2026 sau khi trả mức kỷ lục 17,1 triệu USD vào năm 2025.

Những thay đổi này không quá ngạc nhiên khi các công cụ AI tiên tiến như Claude Mythos của Anthropic và GPT-5.4-Cyber của OpenAI đang mang lại những thay đổi lớn cho cảnh quan phát hiện lỗ hổng. Chương trình Internet Bug Bounty (IBB) gần đây đã tạm dừng chấp nhận các báo cáo lỗ hổng mới do sự gia tăng của nghiên cứu bảo mật được hỗ trợ bởi AI.