- В 2025 году Google выплатила исследователям за выявленные уязвимости $17,1 млн — на $5,3 млн больше, чем в 2024 году.
- Самая крупная единичная выплата составила $250 тысяч за обнаруженную критическую логическую ошибку в браузере Chrome.
- Запущена новая программа баг-баунти для продуктов с искусственным интеллектом с максимальным вознаграждением до $30 тысяч.
Компания Google подвела итоги своей программы баг-баунти за 2025 год, отметив существенный рост выплат и числа участников. Общая сумма вознаграждений достигла $17,1 млн, что на $5,3 млн превышает показатель 2024 года, а число исследователей, внесяших вклад в выявление уязвимостей, выросло с 660 до 747 человек.
Наибольшие выплаты пришлись на несколько ключевых направлений. В Android обнаруженные уязвимости оценили в $2,9 млн. За найденные баги в браузере Chrome разработчики получили 100 выплат общей суммой $3,7 млн, а проекты с открытым исходным кодом получили награды на сумму $327 тысяч. Уязвимости в облачных продуктах Google вознаградили на $3,5 млн, а ошибки в продуктах с искусственным интеллектом — на $890 тысяч.
Особое внимание заслуживает рекордная премия в $250 тысяч, присвоенная за критическую логическую ошибку в механизме межпроцессного взаимодействия (IPC) Chrome. Она позволяла обойти встроенную в браузер sandbox-изоляцию и выполнить произвольный код, что представляет серьёзную угрозу безопасности.
Исследователи также активно работали над анализом песочницы движка v8, выявляя новые уязвимости и способы обхода защиты. В Google Cloud был запущен специализированный ветвь программы bugSWAT для решения уникальных проблем безопасности облачной инфраструктуры.
В опенсорс-секторе акцент сделали на защите цепочек поставок. Благодаря сработавшим защитным мерам компании удалось предотвратить эксплуатацию ряда уязвимостей, в том числе в системе Bazel Central Registry, где потенциальный злоумышленник мог распространять вредоносные пакеты и заражать сборки.
Осенью 2025 года Google объявила о запуске отдельной программы баг-баунти, специально направленной на поиск уязвимостей в продуктах с искусственным интеллектом. Максимальная награда за найденные дефекты в этой категории может достигать $30 тысяч.
Результаты программы баг-баунти демонстрируют стремление Google поддерживать высочайший уровень безопасности своих продуктов и активно сотрудничать с сообществом исследователей безопасности, что способствует более быстрому выявлению и устранению критических уязвимостей.
