‘Boa pegada!’ dias depois ‘funcionamento normal’: Google nega bounty para falha crítica no Cloud e corta prêmios do Chrome

A resposta contraditória do Google

A história da resposta do Google é uma sequência de contradições.

Fase 1 — 'Boa pegada!' O'Leary reportou o bug ao Google em 8 de março de 2026 . Em 27 de março, um engenheiro de segurança do Google aceitou o relatório e disse a ele: 'Boa pegada!' (Nice Catch!) . O engenheiro disse que registrou o bug com a equipe de produto relevante e garantiu a O'Leary que trabalharia com o Google Cloud para corrigir a falha, escrevendo: 'Vamos trabalhar com a equipe de produto para garantir que o problema seja resolvido. Avisearemos quando a correção estiver disponível' . O Google atribuiu ao bug prioridade P1 (a mais alta) e severidade S1 (crítica — afeta grande parte dos usuários e pode interromper funções organizacionais centrais) .

Fase 2 — 'Funcionamento normal'. Em 7 de abril — 11 dias depois — O'Leary recebeu uma mensagem de um bot de segurança do Google revertendo a decisão . O painel do Programa de Recompensa por Vulnerabilidades em Nuvem concluiu que o 'impacto de segurança deste problema não atende aos critérios para se qualificar para uma recompensa' e que o software 'funciona como pretendido' . O Google negou qualquer pagamento.

A contradição: De acordo com o relatório do The Register de 18 de junho, o rastreador interno de bugs do Google ainda listava o ConfigConfusion como P1/S1 com status 'em andamento (aceito)' — em conflito com a posição pública de que não existe vulnerabilidade .

Status não resolvido

Até meados de junho de 2026 — mais de três meses após o relato inicial — a vulnerabilidade permanece sem correção e sem solução . O'Leary publicou desde então um post de pesquisa em seu blog (olearysec.com) com todos os detalhes técnicos .

Mudanças no VRP do Google em 2026 — Contexto mais amplo

No início de maio de 2026, o Google reformulou seus Programas de Recompensa por Vulnerabilidades (VRP) para Chrome e Android, citando explicitamente o aumento do uso de ferramentas de IA na descoberta de vulnerabilidades .

Principais mudanças:

• Os prêmios do Chrome caíram na maioria das categorias. A justificativa do Google foi que as ferramentas de IA podem produzir grandes volumes de submissões de baixa qualidade, então a empresa reestruturou as recompensas para focar em classes de bugs de maior impacto e mais difíceis de automatizar .
• Os prêmios máximos do Android subiram — um comprometimento total da cadeia do Titan M2 com zero clique e persistência agora paga até US$ 1,5 milhão .
• As publicações de CVE do Chrome quadruplicaram ano a ano (de 52 no início de maio de 2025 para 252 no início de maio de 2026), o que o Google usou como evidência do aumento de submissões geradas por IA .

Críticos argumentam que isso cria um contraste constrangedor: o Google corta os prêmios do Chrome devido ao 'ruído da IA' enquanto simultaneamente nega o bug de infraestrutura de nuvem CVSS 10.0, reportado com cuidado por um pesquisador humano, sob o argumento de que é 'funcionamento normal' — uma decisão que muitos na comunidade de segurança consideraram míope e prejudicial à confiança dos pesquisadores .