Google sagde ’Nice catch!’ – men nægtede bounty for kritisk skyfejl

Googles modstridende reaktion

Historien om Googles svar er en af svimlende modsætninger.

Fase 1 – ”Nice catch! ” O’Leary rapporterede fejlen til Google den 8. marts 2026 . Den 27. marts accepterede en Google-sikkerhedsingeniør rapporten og sagde ”Nice catch!” . Ingeniøren sagde, at de havde indberettet fejlen til det relevante produktteam og forsikrede O’Leary om, at de ville arbejde med Google Cloud for at løse problemet: ”Vi vil arbejde sammen med produktteamet for at sikre, at problemet bliver løst. Vi giver dig besked, når problemet er rettet” . Google tildelte fejlen P1-prioritet (højeste) og S1-alvorlighed (kritisk – påvirker en stor procentdel af brugere og kan forstyrre centrale organisatoriske funktioner) .

Fase 2 – ”Arbejde som forventet.” Den 7. april – 11 dage senere – modtog O’Leary en besked fra en Google Security Bot, der omstødte beslutningen . Cloud Vulnerability Reward Program-panelet konkluderede, at ”sikkerhedspåvirkningen af dette problem ikke opfylder kriterierne for at kvalificere sig til en belønning”, og at softwaren ”arbejder som forventet” . Google nægtede enhver bounty-udbetaling.

Modsigelsen: Ifølge The Registers rapport fra 18. juni viste Googles interne fejlsporer stadig ConfigConfusion som P1/S1 med status ”in progress (accepted)” – i modstrid med den offentlige holdning om, at der ikke er nogen sårbarhed .

Uafklaret status

Pr. midten af juni 2026 – over tre måneder efter den første rapport – er sårbarheden stadig uoprettet og uløst . O’Leary har siden offentliggjort et forskningsblogindlæg med fulde tekniske detaljer på olearysec.com .

Googles 2026 VRP-ændringer – bredere kontekst

I begyndelsen af maj 2026 gennemgik Google sine Vulnerability Reward Programs for Chrome og Android, idet de eksplicit nævnte stigningen i AI-værktøjer til sårbarhedsopdagelse .

Vigtigste ændringer:

• Chrome-udbetalinger faldt i de fleste kategorier. Googles begrundelse var, at AI-værktøjer nemt kan producere store mængder af lavere kvalitetsindberetninger, så de omstrukturerede belønninger mod højere-impact, sværere-at-automatisere fejlklasser .
• Android top-udbetalinger steg – et zero-click fuld-kæde Titan M2-kompromis med persistens betaler nu op til $1,5 millioner .
• Chomes CVE-publikationer firdobledes år-over-år (fra 52 gennem begyndelsen af maj 2025 til 252 gennem begyndelsen af maj 2026), hvilket Google brugte som bevis på AI-genererede indsendelsesbølger .

Kritikere påpeger, at dette skaber en akavet kontrast: Google reducerer Chrome-udbetalinger på grund af ”AI-støj” og nægter samtidig en menneskelig forskers omhyggeligt rapporterede CVSS 10.0 cloud-infrastrukturfejl med den begrundelse, at det er ”arbejde som forventet” – en beslutning, som mange i sikkerhedsmiljøet har kaldt kortsynet og skadelig for forskertillid .