questo aggiornamento operativo dei programmi di ricompensa per vulnerabilità di google rivede le soglie e le priorità, orientando i premi verso exploit complessi e rischi concreti per gli utenti. l’attenzione principale è rivolta a android con titan m2 e a chrome, in un contesto in cui le segnalazioni alimentate dall’intelligenza artificiale assumono un ruolo crescente. gli importi sono stati ridefiniti per premiare casi di alto impatto e competenze avanzate, distinguendo tra vulnerabilità persistenti e non persistenti.
programma di ricompense per vulnerabilità android e chrome: nuove soglie e priorità
android: premi fino a 1,5 milioni di dollari per exploit avanzati che persistono
l’aggiornamento assegna premi sino a 1,5 milioni di dollari per particolari exploit android avanzati che restano attivi, inclusi attacchi zero-click su dispositivi pixel dotati del chip di sicurezza titan m2. una versione non persistente è premiata con 750.000 dollari.
chrome: riduzioni e nuove linee guida
per chrome, google riduce alcuni premi e rimuove diverse categorie bonus a causa della crescita di segnalazioni generate dall’ia (intelligenza artificiale). l’obiettivo è premiare segnalazioni concise, riproducibili e con chiaro impatto reale piuttosto che la quantità di invii. i bonus per renderer rce o per lettura/scrittura arbitraria sono stati eliminati, mentre si introducono build di chrome mirate a dimostrare lettura/scrittura arbitraria in processi privilegiati.
premi per l’intera catena di exploit del browser
google continua a riconoscere premi fino a 250.000 dollari per exploit nella catena completa del processo del browser sui sistemi operativi e hardware più recenti. il noto bonus MiraclePtr resta disponibile con un importo di 250.128 dollari, mentre altri importi subiscono diminuzioni nonostante l’aumento complessivo del fondo premi nel 2026.
ai: programma di bug bounty dedicato
in parallelo, google ha ampliato gli sforzi legati all’ia, avviando nel 2025 un programma di bug bounty dedicato all’IA per prodotti come Gemini, Google Search e gli strumenti Workspace AI. i ricercatori possono ottenere fino a 30.000 dollari per vulnerabilità IA di rilievo, quali attacchi di injector di prompt, azioni non autorizzate o perdite di dati.
l’aggiornamento dei VRP riflette l’evoluzione del panorama di ricerca sulle vulnerabilità, con una valorizzazione delle scoperte che richiedono competenze tecniche avanzate e comportano rischi concreti nell’uso reale. google invita i ricercatori a presentare anche proposte di correzione insieme alle segnalazioni, non limitandosi a dimostrare l’esistenza di una falla.
Lascia un commento