Google sa «Nice Catch!» – nektet så dusør for kritisk skyfeil de fortsatt ikke har fikset

Googles motstridende respons

Historien om Googles respons er preget av hodebryende motsetninger.

Fase 1 – «Nice Catch!» O'Leary rapporterte feilen til Google 8. mars 2026 . 27. mars aksepterte en Google-sikkerhetsingeniør rapporten og sa «Nice Catch!» . Ingeniøren sa de hadde opprettet en feilrapport hos det aktuelle produktteamet og forsikret O'Leary om at de ville jobbe med Google Cloud for å fikse sårbarheten: «Vi vil jobbe med produktteamet for å sikre at dette problemet blir adressert. Vi gir beskjed når problemet er fikset» . Google klassifiserte feilen som P1-prioritet (høyest) og S1-alvorlighetsgrad (kritisk – påvirker stor andel brukere og kan forstyrre kjernfunksjoner) .

Fase 2 – «Working as intended.» 7. april – 11 dager senere – fikk O'Leary en melding fra en Google Security Bot som omgjorde beslutningen . Cloud Vulnerability Reward Program-panelet konkluderte med at «sikkerhetspåvirkningen av dette problemet ikke oppfyller kriteriene for å kvalifisere for dusør» og at programvaren «fungerer som tiltenkt» . Google nektet enhver dusørutbetaling.

Motsigelsen: Per The Registers rapport 18. juni listet Googles interne feilsporing fortsatt ConfigConfusion som P1/S1 med status «in progress (accepted)» – i strid med den offentlige posisjonen om at ingen sårbarhet eksisterer .

Uløst status

Per midten av juni 2026 – over tre måneder etter den opprinnelige rapporten – er sårbarheten fortsatt ikke lappet eller løst . O'Leary har publisert et forskningsblogginnlegg med full tekniske detaljer på olearysec.com .

Googles VRP-endringer i 2026 – bredere kontekst

Tidlig mai 2026 gjennomgikk Google sine dusørprogrammer for Chrome og Android en omfattende overhaling, eksplisitt med henvisning til fremveksten av AI-verktøy i sårbarhetsfunn .

Viktige endringer:

• Chrome-utbetalingene falt i de fleste kategorier. Googles begrunnelse var at AI-verktøy enkelt kan produsere store mengder lavere kvalitetsinnleveringer, så de omstrukturerte belønningene mot mer effektfulle og vanskeligere å automatisere feiltyper .
• Android-toppdusørene steg – et null-klikk full-kjede Titan M2-kompromiss med persistens gir nå opptil 1,5 millioner dollar .
• Chomes CVE-publikasjoner firedoblet seg år-over-år (fra 52 gjennom tidlig mai 2025 til 252 gjennom tidlig mai 2026), noe Google brukte som bevis på AI-generert innleveringsbølge .

Kritikere hevder dette skaper en merkbar kontrast: Google kutter Chrome-dusører på grunn av «AI-støy» samtidig som de nekter en menneskelig forskers nøye rapporterte, CVSS 10.0 skyinfrastrukturfeil med begrunnelsen «working as intended» – en beslutning mange i sikkerhetsmiljøet har kalt kortsiktig og skadelig for forskertillit .