Peneliti Temukan Celah Kritis di Google Cloud, Dipuji Tim Keamanan, Lalu Google Menolak Beri Hadiah dan Menganggapnya 'Bekerja Normal'

Respons Google yang Kontradiktif

Kisah respons Google penuh dengan kontradiksi yang membingungkan.

Fase 1 — "Bagus sekali!" O'Leary melaporkan bug ini ke Google pada 8 Maret 2026 . Pada 27 Maret, seorang insinyur keamanan Google menerima laporan tersebut dan mengatakan "Bagus sekali!" . Insinyur tersebut mengatakan telah mengajukan bug ke tim produk terkait dan meyakinkan O'Leary bahwa mereka akan bekerja sama dengan Google Cloud untuk memperbaiki celah tersebut, dengan menulis: "Kami akan bekerja dengan tim produk untuk memastikan masalah ini ditangani. Kami akan memberi tahu Anda setelah masalah diperbaiki" . Google menetapkan bug ini dengan prioritas P1 (tertinggi) dan severitas S1 (kritis — mempengaruhi sebagian besar pengguna dan dapat mengganggu fungsi organisasi inti) .

Fase 2 — "Berfungsi sebagaimana mestinya." Pada 7 April — 11 hari kemudian — O'Leary menerima pesan dari Bot Keamanan Google yang membalikkan keputusan . Panel Cloud Vulnerability Reward Program menyimpulkan bahwa "dampak keamanan dari masalah ini tidak memenuhi kriteria untuk memenuhi syarat mendapatkan hadiah" dan bahwa perangkat lunak tersebut "berfungsi sebagaimana mestinya" . Google menolak memberikan imbalan apa pun.

Kontradiksi: Hingga laporan The Register pada 18 Juni, pelacak bug internal Google masih menampilkan ConfigConfusion sebagai P1/S1 dengan status "sedang berlangsung (diterima)" — bertentangan dengan posisi publik bahwa tidak ada kerentanan yang ada .

Status yang Belum Terselesaikan

Hingga pertengahan Juni 2026 — lebih dari tiga bulan setelah laporan awal — kerentanan ini masih belum diperbaiki dan belum terselesaikan . O'Leary sejak itu telah menerbitkan posting blog penelitian dengan detail teknis lengkap di olearysec.com .

Perubahan VRP Google 2026 — Konteks yang Lebih Luas

Pada awal Mei 2026, Google merombak Vulnerability Reward Programs (VRP) untuk Chrome dan Android, secara eksplisit menyebutkan meningkatnya penggunaan alat AI dalam penemuan kerentanan .

Perubahan utama:

• Imbalan Chrome diturunkan di hampir semua kategori. Google beralasan bahwa alat AI dapat dengan mudah menghasilkan laporan berkualitas rendah dalam jumlah besar, sehingga mereka merestrukturisasi imbalan untuk lebih fokus pada kelas bug yang berdampak tinggi dan lebih sulit untuk diotomatisasi .
• Imbalan Android tertinggi naik — kompromi Titan M2 zero-click full-chain dengan persistensi kini dibayar hingga $1,5 juta .
• Publikasi CVE Chrome meningkat empat kali lipat secara tahunan (dari 52 pada awal Mei 2025 menjadi 252 pada awal Mei 2026), yang dikutip Google sebagai bukti lonjakan kiriman yang dihasilkan AI .

Para kritikus berpendapat bahwa hal ini menciptakan kontras yang janggal: Google memangkas imbalan Chrome karena "noise AI" sementara pada saat yang sama menolak hadiah untuk laporan manual peneliti manusia tentang bug infrastruktur cloud CVSS 10.0 yang dilaporkan secara cermat dengan alasan "berfungsi sebagaimana mestinya" — sebuah keputusan yang oleh banyak pihak di komunitas keamanan disebut picik dan merusak kepercayaan peneliti .