Google merombak program penghargaan kerentanan Android dan Chrome, menawarkan hadiah hingga $1,5 juta untuk eksploitasi tersulit sambil mengurangi pembayaran untuk kelemahan yang dibuat lebih mudah ditemukan oleh kecerdasan buatan (AI).
Hadiah tertinggi sebesar $1,5 juta disediakan untuk eksploitasi rantai penuh chip keamanan Pixel Titan M2 tanpa klik dengan persistensi, skenario serangan yang paling menuntut secara teknis dalam program ini, sementara eksploitasi yang sama, tetapi tanpa persistensi, juga memenuhi syarat untuk mendapatkan hingga $750,000.
Di sisi Google Chrome, eksploitasi proses browser rantai penuh pada sistem operasi dan perangkat keras terkini kini hadir dengan imbalan hingga $250.000, ditambah bonus tambahan $250.128 jika berhasil mengeksploitasi alokasi memori yang dilindungi MiraclePtr.
“Kami tahu bahwa eksploitasi tertentu yang berdampak besar masih sangat sulit dicapai dan kami sangat menghargai kolaborasi dengan komunitas peneliti untuk menemukan dan mengungkap eksploitasi tersebut,” kata Google.
“Kami ingin membangun kemitraan ini dengan terus menekankan tingkat penghargaan tertinggi di Android dan Chrome.”
Untuk program Chrome, Google mengalihkan fokusnya ke laporan ringkas yang hanya berisi bukti bug dan artefak penting, dibandingkan analisis tertulis panjang yang kini dapat dihasilkan oleh AI secara otomatis.
Program Android juga akan mempersempit fokusnya pada kerentanan kernel Linux pada komponen yang dikelola Google, kecuali jika peneliti dapat menunjukkan kemampuan eksploitasi yang nyata pada perangkat Android.
“Meskipun AI telah mempermudah pembuatan artikel yang panjang dan mendetail, perangkat internal kami juga telah berevolusi untuk membantu kami menjelaskan secara otomatis dan menyarankan perbaikan bug,” tambah perusahaan tersebut.
Restrukturisasi program penghargaan kerentanan ini mengikuti rekor tahun upaya bug bounty Google, bersama perusahaan tersebut membayar $17,1 juta menjadi 747 peneliti pada tahun 2025, peningkatan lebih dari 40 persen dari tahun 2024 dan merupakan angka tertinggi sepanjang masa.
Ini telah menghasilkan total pembayaran sejak program ini dijalankan diluncurkan pada tahun 2010 menjadi lebih dari $81,6 juta, dan Google memperkirakan bahwa total total imbalan yang dibayarkan pada tahun 2026 akan meningkat meskipun terjadi penurunan pada beberapa jumlah imbalan individual.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
