Lof, dan een domper: waarom Google een CVSS 10.0 cloudlek afwijst en tegelijkertijd bugbounties voor Chrome verlaagt

De tegenstrijdige reactie van Google

Het verhaal van Google's reactie is er een van tegenstellingen.

Fase 1 — 'Mooie vangst!' O'Leary meldde het lek op 8 maart 2026 . Op 27 maart accepteerde een Google-security-engineer de melding en sprak van een 'Nice catch!' . De engineer verzekerde O'Leary dat hij met het productteam zou samenwerken om het probleem te verhelpen . Google kende het lek de hoogste prioriteit (P1) en de hoogste ernst (S1) toe .

Fase 2 — 'Werkt zoals bedoeld.' Op 7 april – 11 dagen later – ontving O'Leary een bericht van een Google Security Bot die de eerdere beslissing terugdraaide . De Cloud Vulnerability Reward Program-panel concludeerde dat de 'security-impact van dit probleem niet voldoet aan de criteria voor een beloning' en dat de software 'werkt zoals bedoeld' is . De bounty werd geweigerd.

De tegenstrijdigheid: Volgens het rapport van The Register van 18 juni stond ConfigConfusion nog steeds als P1/S1 met de status 'in progress (accepted)' in Google's interne bugtracker – in tegenspraak met het publieke standpunt .

Onopgelost

Half juni 2026 – meer dan drie maanden na de eerste melding – is het lek nog steeds niet verholpen . O'Leary heeft inmiddels een onderzoeksblog met technische details gepubliceerd op olearysec.com .

De bredere context: Google's VRP-wijzigingen in 2026

Begin mei 2026 herzag Google zijn Vulnerability Reward Programs voor Chrome en Android, waarbij expliciet de opkomst van AI-tools bij het vinden van kwetsbaarheden werd genoemd als reden .

Belangrijkste veranderingen:

• De uitkeringen voor Chrome daalden in de meeste categorieën. Google redeneerde dat AI-tools gemakkelijk grote hoeveelheden mindere meldingen kunnen produceren, dus werden de beloningen verschoven naar impactvollere bugs .
• De toppremies voor Android stegen – een zero-click full-chain Titan M2-compromis met persistentie levert nu maximaal €1,4 miljoen (gelijk aan $1,5 miljoen) op .
• Het aantal CVE-publicaties voor Chrome verviervoudigde (van 52 begin mei 2025 naar 252 begin mei 2026). Google ziet dit als bewijs van de AI-gegenereerde meldingsgolf .

Critici wijzen op de wrangheid: Google verlaagt Chrome-bounties vanwege 'AI-ruis', terwijl het tegelijkertijd een zorgvuldig gerapporteerd, door een mens ontdekt kritiek cloudlek afwijst met de mededeling dat het 'werkt zoals bedoeld' is – een beslissing die velen in de securitygemeenschap kortzichtig en schadelijk voor het vertrouwen van onderzoekers noemen .