Nice Catch, Tiada Bounty: Google Nafikan Hadiah untuk Bug Cloud Kritikal yang Masih Belum Dibetulkan

Respons Bercanggah Google

Kisah respons Google adalah satu siri percanggahan yang memeningkan.

Fasa 1 — 'Nice Catch!' O'Leary melaporkan pepijat itu kepada Google pada 8 Mac 2026 . Pada 27 Mac, seorang jurutera keselamatan Google menerima laporan itu dan memberitahunya 'Nice Catch!' . Jurutera itu berkata mereka telah memfailkan pepijat dengan pasukan produk yang berkaitan dan memberi jaminan kepada O'Leary bahawa mereka akan bekerjasama dengan Google Cloud untuk membetulkan kelemahan itu, dengan menulis: 'Kami akan bekerjasama dengan pasukan produk untuk memastikan isu ini ditangani. Kami akan memberitahu anda apabila isu itu diperbaiki' . Google memberikan pepijat itu keutamaan P1 (tertinggi) dan keterukan S1 (kritikal — menjejaskan peratusan besar pengguna dan boleh mengganggu fungsi organisasi teras) .

Fasa 2 — 'Berfungsi seperti yang dimaksudkan.' Pada 7 April — 11 hari kemudian — O'Leary menerima mesej daripada Bot Keselamatan Google yang membalikkan keputusan itu . Panel Program Ganjaran Kerentanan Cloud membuat kesimpulan bahawa 'kesan keselamatan isu ini tidak memenuhi kriteria untuk layak mendapat ganjaran' dan bahawa perisian itu 'berfungsi seperti yang dimaksudkan' . Google menafikan sebarang pembayaran bounty.

Percanggahan: Setakat laporan The Register pada 18 Jun, penjejak pepijat dalaman Google masih menyenaraikan ConfigConfusion sebagai P1/S1 dengan status 'sedang dijalankan (diterima)' — bercanggah dengan pendirian awam bahawa tiada kelemahan wujud .

Status Tidak Selesai

Setakat pertengahan Jun 2026 — lebih tiga bulan selepas laporan awal — kelemahan itu masih belum ditampal dan tidak diselesaikan . O'Leary sejak itu telah menerbitkan catatan blog penyelidikan dengan butiran teknikal penuh di olearysec.com .

Perubahan VRP Google 2026 — Konteks Lebih Luas

Pada awal Mei 2026, Google merombak Program Ganjaran Kerentanan (VRP) untuk Chrome dan Android, secara eksplisit memetik peningkatan penggunaan alat AI dalam penemuan kelemahan .

Perubahan utama:

• Bayaran Chrome menurun dalam kebanyakan kategori. Rasional Google ialah alat AI boleh menghasilkan jumlah penyerahan berkualiti rendah yang besar dengan mudah, jadi ia menstruktur semula ganjaran ke arah kelas pepijat yang lebih berimpak tinggi dan lebih sukar untuk diautomasikan .
• Bayaran tertinggi Android meningkat — kompromi Titan M2 rantaian penuh klik sifar dengan kegigihan kini membayar sehingga $1.5 juta .
• Penerbitan CVE Chrome meningkat empat kali ganda tahun ke tahun (daripada 52 sehingga awal Mei 2025 kepada 252 sehingga awal Mei 2026), yang dipetik Google sebagai bukti lonjakan penyerahan yang dijana AI .

Pengkritik berpendapat ini mewujudkan kontras yang janggal: Google memotong bayaran Chrome disebabkan 'bunyi AI' sambil pada masa yang sama menafikan pepijat infrastruktur awan CVSS 10.0 yang dilaporkan dengan teliti oleh penyelidik manusia atas alasan ia 'berfungsi seperti yang dimaksudkan' — keputusan yang ramai dalam komuniti keselamatan anggap rabun dan merosakkan kepercayaan penyelidik .