Google disse 'Boa pegada!' e depois negou recompensa por falha que ainda não corrigiu

Linha do Tempo da Resposta Conflitante do Google

O caso está aberto há quase três meses sem correção e sem recompensa paga .

1. Aceitação inicial — 'Nice catch!'
   O time de bug bounty do Google inicialmente triou o relato, categorizou-o como alta prioridade / alta severidade, e um representante elogiou O'Leary com um 'Nice catch!' .

2. Recompensa negada — 'Working as intended'
   O Google depois reverteu a decisão, fechou o relato e declarou que o comportamento era 'working as intended' — ou seja, não era considerado uma vulnerabilidade válida segundo as regras do programa. Nenhuma recompensa foi emitida .

3. Sem correção, ainda aberto
   Em 18 de junho de 2026, a falha ainda não foi resolvida. O Google não corrigiu o Config Connector e não ofereceu recompensa a O'Leary .

Contexto Maior: A Reforma dos VRPs do Google em 2026

No final de abril/início de maio de 2026, o Google reformulou seus Programas de Recompensa por Vulnerabilidades (VRP) para Chrome e Android, citando um aumento de submissões geradas por IA .

• Pagamentos do Chrome foram cortados — O Google reestruturou as recompensas para priorizar bugs 'acionáveis' e de maior impacto, reduzindo explicitamente recompensas para relatos de baixo impacto que ferramentas de IA podem gerar em massa .
• Recompensas máximas do Android subiram — O pagamento máximo para exploits zero-click persistentes no Titan M subiu para US$ 1,5 milhão, mirando bugs profundos de hardware que a IA não encontra facilmente .
• O Google declarou que está 'reduzindo alguns valores de recompensa e bônus no Android e Chrome' para focar em 'qualidade e impacto real em vez de volume' .

O caso de O'Leary, embora no Cloud VRP (não no Chrome/Android), alimenta uma percepção crescente entre pesquisadores de que o Google está apertando os pagamentos mesmo para falhas graves descobertas manualmente — justamente quando a empresa corta recompensas publicamente devido ao ruído de IA .