Googles kovändning: Berömde säkerhetsforskare – sedan stoppades utbetalningen

Googles motsägelsefulla agerande

Historien om Googles agerande är en berg-och-dalbana av motsägelser.

Fas 1 – ”Nice catch!” O'Leary rapporterade buggen till Google den 8 mars 2026 . Den 27 mars accepterade en Googles säkerhetsingenjör rapporten och skrev ”Nice catch!” . Ingenjören sa att de lämnat in en buggrapport till det relevanta produktteamet och försäkrade O'Leary att de skulle samarbeta med Google Cloud för att åtgärda felet: ”Vi kommer att arbeta med produktteamet för att säkerställa att problemet åtgärdas. Vi meddelar dig när felet är fixat” . Google tilldelade buggen P1-prioritet (högsta) och S1-allvarlighetsgrad (kritisk – påverkar en stor andel användare och kan störa centrala organisationsfunktioner) .

Fas 2 – ”Arbetar som designad.” Den 7 april – 11 dagar senare – fick O'Leary ett meddelande från en Google Security Bot som upphävde beslutet . Panelens för Cloud Vulnerability Reward Program drog slutsatsen att ”säkerhetspåverkan av detta problem inte uppfyller kriterierna för att kvalificera sig för en belöning” och att programvaran ”arbetar som designad” . Google nekade all utbetalning.

Motsägelsen: Enligt The Registers rapport den 18 juni listade Googles interna buggspårare fortfarande ConfigConfusion som P1/S1 med status ”pågående (accepterad)” – i strid med den offentliga positionen att ingen sårbarhet finns .

Fortfarande inte åtgärdat

I mitten av juni 2026 – över tre månader efter den ursprungliga rapporten – är sårbarheten fortfarande inte åtgärdad . O'Leary har sedan dess publicerat ett forskningsinlägg med fullständiga tekniska detaljer på olearysec.com .

Googles VRP-förändringar 2026 – bredare kontext

I början av maj 2026 genomförde Google en översyn av sina belöningsprogram för sårbarheter (VRP) för Chrome och Android, med ett uttryckligt hänvisande till AI-verktygens framväxt inom sårbarhetsupptäckt .

Viktiga förändringar:

• Chrome-utbetalningarna sänktes i de flesta kategorier. Googles motivering var att AI-verktyg enkelt kan producera stora mängder lågkvalitativa rapporter, så man omstrukturerade belöningarna för att fokusera på mer effektfulla, svårautomatiserade buggklasser .
• Toppbelöningarna för Android höjdes – en zero-click full-chain-kompromettering av Titan M2 med persistens betalar nu upp till 1,5 miljoner dollar .
• Chomes CVE-publiceringar fyrdubblades år över år (från 52 i början av maj 2025 till 252 i början av maj 2026), vilket Google lyfte som bevis för den AI-genererade rapportökningen .

Kritiker menar att detta skapar en märklig kontrast: Google sänker Chrome-utbetalningarna på grund av ”AI-brus” samtidigt som man nekar en mänsklig forskare en noggrant rapporterad, CVSS 10.0-molninfrastrukturbugg med motiveringen att den ”arbetar som designad” – ett beslut som många i säkerhetsgemenskapen har kallat kortsiktigt och skadligt för forskarnas förtroende .