Google nejprve výzkumníkovi řekl „Dobrá práce!“, pak mu odepřel odměnu za kritickou chybu v GCP, kterou dodnes neopravil

Rozporuplná reakce Googlu

Příběh reakce Googlu je plný protichůdných kroků.

Fáze 1 – „Dobrá práce!“ O'Leary nahlásil chybu Googlu 8. března 2026 . 27. března bezpečnostní inženýr Googlu hlášení přijal a napsal mu „Dobrá práce!“ . Inženýr uvedl, že chybu předal příslušnému produktovému týmu a ujistil O'Learyho, že budou spolupracovat s Google Cloud na opravě: „Budeme s produktovým týmem pracovat na zajištění nápravy. Až bude problém vyřešen, dáme vám vědět“ . Google přiřadil chybě prioritu P1 (nejvyšší) a závažnost S1 (kritická – ovlivňuje velké procento uživatelů a může narušit základní funkce organizace) .

Fáze 2 – „Funguje tak, jak má.“ 7. dubna – o 11 dní později – O'Leary obdržel zprávu od bezpečnostního bota Googlu, která rozhodnutí rušila . Panel programu Cloud Vulnerability Reward Program dospěl k závěru, že „bezpečnostní dopad tohoto problému nesplňuje kritéria pro udělení odměny“ a že software „funguje tak, jak má“ . Google zamítl jakékoli vyplacení odměny.

Rozpor: K 18. červnu, kdy The Register o případu informoval, interní bug tracker Googlu stále uváděl ConfigConfusion jako P1/S1 se stavem „probíhá (přijato)“ – což je v rozporu s veřejným prohlášením, že žádná zranitelnost neexistuje .

Nevyřešený stav

K polovině června 2026 – více než tři měsíce po původním nahlášení – zranitelnost zůstává neopravená a nevyřešená . O'Leary od té doby zveřejnil výzkumný blogový příspěvek s úplnými technickými podrobnostmi na adrese olearysec.com .

Změny programu VRP Googlu v roce 2026 – širší souvislosti

Začátkem května 2026 Google zásadně přepracoval své programy odměn za zranitelnosti (VRP) pro Chrome a Android, přičemž explicitně uvedl nárůst využívání nástrojů umělé inteligence při objevování zranitelností .

Klíčové změny:

• Odměny za chyby v Chromu klesly ve většině kategorií. Zdůvodněním Googlu bylo, že AI nástroje snadno produkují velké objemy nekvalitních hlášení, a proto přesměroval odměny na závažnější a hůře automatizovatelné typy chyb .
• Nejvyšší odměny pro Android vzrostly – za zero-click kompromitaci celého řetězce Titan M2 s perzistencí nyní Google vyplácí až 1,5 milionu dolarů .
• Počet zveřejněných CVE pro Chrome se meziročně zčtyřnásobil (z 52 do začátku května 2025 na 252 do začátku května 2026), což Google uvádí jako důkaz nárůstu hlášení generovaných AI .

Kritici upozorňují na nepříjemný kontrast: Google snižuje odměny za Chrome kvůli „AI šumu“, ale zároveň odpírá odměnu lidskému výzkumníkovi za pečlivě nahlášenou chybu cloudové infrastruktury s hodnocením CVSS 10,0 s odůvodněním, že „funguje tak, jak má“. Mnozí v bezpečnostní komunitě toto rozhodnutí označují za krátkozraké a poškozující důvěru výzkumníků .