תפוס את הבאג, אבל בלי פרס: גוגל סירבה לתגמל חוקר על פרצת אבטחה קריטית בענן — ואז קיצצה תגמולי Chrome

תגובתה הסותרת של גוגל

סיפור התגובה של גוגל הוא סדרה של סתירות מביכות.

שלב 1 — "תפיסה יפה!" אולירי דיווח על הבאג לגוגל ב-8 במרץ 2026 . ב-27 במרץ, מהנדס אבטחה של גוגל קיבל את הדיווח ואמר לו "תפיסה יפה!" . המהנדס אמר שהוא הגיש באג לצוות המוצר הרלוונטי והבטיח לאולירי שהם יעבדו עם Google Cloud כדי לתקן את הפרצה, וכתב: "אנחנו נעבוד עם צוות המוצר כדי לוודא שהבעיה מטופלת. נודיע לך כשהבעיה תטופל" . גוגל סיווגה את הבאג כ-P1 (עדיפות עליונה) ו-S1 (חומרה קריטית — משפיעה על אחוז גדול מהמשתמשים ועלולה לשבש פונקציות ארגוניות ליבה) .

שלב 2 — "פועל כמתוכנן." ב-7 באפריל — 11 ימים לאחר מכן — אולירי קיבל הודעה מבוט אוטומטי של גוגל שהפכה את ההחלטה . ועדת תוכנית התגמולים לפגיעות ענן קבעה כי "ההשפעה הביטחונית של בעיה זו אינה עומדת בקריטריונים לזכאות לפרס" וכי התוכנה "פועלת כמתוכנן" . גוגל סירבה לשלם כל פרס.

הסתירה: נכון לדיווח של The Register ב-18 ביוני, מעגל הבאגים הפנימי של גוגל עדיין סיווג את ConfigConfusion כ-P1/S1 עם סטטוס "בתהליך (התקבל)" — בניגוד לעמדה הפומבית שאין פגיעות .

מצב לא פתור

נכון לאמצע יוני 2026 — למעלה משלושה חודשים לאחר הדיווח הראשוני — הפגיעות נותרה לא מטופלת ולא מתוקנת . אולירי פרסם מאמר מחקר עם פרטים טכניים מלאים באתר olearysec.com .

השינויים ב-VRP של גוגל ב-2026 — הקשר רחב יותר

בתחילת מאי 2026, גוגל ביצעה שינוי משמעותי בתוכניות התגמולים לפגיעות (VRP) שלה עבור Chrome ואנדרואיד, וציינה במפורש את עליית כלי הבינה המלאכותית בגילוי פגיעויות כסיבה .

שינויים עיקריים:

• תגמולי Chrome ירדו ברוב הקטגוריות. הנימוק של גוגל היה שכלי בינה מלאכותית יכולים לייצר בקלות כמויות גדולות של דיווחים באיכות נמוכה, ולכן היא התאימה את התגמולים לקראת מחלקות באגים בעלות השפעה גבוהה יותר וקשות יותר לאוטומציה .
• התגמולים העליונים לאנדרואיד עלו — פריצה מלאה מסוג zero-click ל-Titan M2 עם התמדה (persistence) תזכה כעת בפרס של עד 1.5 מיליון דולר .
• פרסומי ה-CVE של Chrome גדלו פי ארבעה משנה לשנה (מ-52 בתחילת מאי 2025 ל-252 בתחילת מאי 2026), מה שגוגל ציינה כראיה לגל הדיווחים שנוצרו על ידי בינה מלאכותית .

מבקרים טוענים שזה יוצר ניגוד מביך: גוגל קוצצת תגמולי Chrome בגלל "רעש בינה מלאכותית" בעוד היא מסרבת לשלם לחוקר אנושי על באג ענן CVSS 10.0 שדווח בקפידה, בטענה שהוא "פועל כמתוכנן" — החלטה שרבים בקהילת האבטחה כינו קצרת רואי ופוגעת באמון החוקרים .