Google сказала исследователю «Отличная находка!», а затем отказала в выплате за критическую уязвимость в GCP — спустя три месяца она всё ещё не исправлена

Противоречивая реакция Google

История реакции Google — это череда взаимоисключающих решений.

Фаза 1 — «Отличная находка!» О’Лири сообщил о баге 8 марта 2026 года . 27 марта инженер Google принял отчёт и написал ему: «Отличная находка!». Инженер сообщил, что завёл баг в соответствующей команде и пообещал, что они свяжутся, когда проблема будет исправлена . Google присвоила багу приоритет P1 (наивысший) и серьёзность S1 (критическая — затрагивает значительный процент пользователей и нарушает основные функции организации) .

Фаза 2 — «Работает как задумано». 7 апреля — через 11 дней — О’Лири получил сообщение от бота Google Security с обратным решением . Комиссия Cloud Vulnerability Reward Program заключила, что «безопасность данного вопроса не соответствует критериям для вознаграждения», и что программное обеспечение «работает как задумано» . Google отказалась от выплаты.

Противоречие: Согласно отчёту The Register от 18 июня, внутренний баг-трекер Google по-прежнему отображал ConfigConfusion как P1/S1 со статусом «в работе (принято)» — в прямом противоречии с публичной позицией, что никакой уязвимости не существует .

Неисправленная уязвимость

По состоянию на середину июня 2026 года — более чем через три месяца после первоначального отчёта — уязвимость остаётся незакрытой и неисправленной . О’Лири опубликовал исследовательский пост с полными техническими деталями на сайте olearysec.com .

Изменения VRP Google в 2026 году — более широкий контекст

В начале мая 2026 года Google провела масштабный пересмотр программ вознаграждения за уязвимости (VRP) для Chrome и Android, прямо сославшись на рост использования ИИ-инструментов для поиска багов .

Ключевые изменения:

• Выплаты за Chrome снижены почти по всем категориям. Google объяснила это тем, что ИИ-инструменты могут легко генерировать большие объёмы низкокачественных отчётов, поэтому компания переориентирует награды на более сложные и автоматически не обнаруживаемые классы багов .
• Выплаты за Android повышены — за zero-click полную цепочку эксплуатации чипа Titan M2 с возможностью сохранения доступа теперь выплачивают до $1,5 миллиона .
• Количество CVE для Chrome выросло в четыре раза по сравнению с прошлым годом (с 52 за начало мая 2025 до 252 за начало мая 2026), что Google привела как доказательство наплыва ИИ-сгенерированных отчётов .

Критики отмечают парадоксальный контраст: Google сокращает выплаты за Chrome из-за «шума ИИ» и одновременно отказывает человеку-исследователю в вознаграждении за тщательно задокументированный баг CVSS 10.0 в облачной инфраструктуре, утверждая, что это «работает как задумано». Многие в сообществе безопасности назвали такое решение недальновидным и подрывающим доверие исследователей .