ชมว่าจับดี แต่กลับเมินจ่าย: Google ปฏิเสธค่าแจ้งช่องโหว่ระบบคลาวด์ที่ยังไม่ถูกแก้ ขณะปรับลดรางวัล Chrome

การตอบสนองของ Google ที่ขัดแย้งในตัวเอง

เรื่องราวการตอบสนองของ Google เต็มไปด้วยความขัดแย้งที่ทำให้รู้สึกเหมือนถูกเหวี่ยงไปมา

ระยะแรก — 'Nice Catch!' โอ'ลีรีรายงานข้อบกพร่องให้ Google ทราบในวันที่ 8 มีนาคม 2026 ในวันที่ 27 มีนาคม วิศวกรความปลอดภัยของ Google ยอมรับรายงานและบอกเขาว่า 'Nice Catch!' วิศวกรแจ้งว่าได้ยื่นเรื่องบั๊กให้กับทีมผลิตภัณฑ์ที่เกี่ยวข้องและรับรองกับโอ'ลีรีว่าจะทำงานร่วมกับ Google Cloud เพื่อแก้ไขข้อบกพร่อง โดยเขียนว่า 'เราจะทำงานร่วมกับทีมผลิตภัณฑ์เพื่อให้แน่ใจว่าปัญหานี้ได้รับการแก้ไข เราจะแจ้งให้คุณทราบเมื่อปัญหาได้รับการแก้ไข' Google กำหนดข้อบกพร่องนี้เป็น P1 priority ลำดับความสำคัญสูงสุด และ S1 severity ความรุนแรงระดับวิกฤต ส่งผลกระทบต่อผู้ใช้เป็นวงกว้างและสามารถ disrupt การทำงานหลักขององค์กร

ระยะที่สอง — 'Working as intended' ในวันที่ 7 เมษายน — 11 วันต่อมา — โอ'ลีรีได้รับข้อความจากบอทรักษาความปลอดภัยของ Google ที่กลับคำตัดสินก่อนหน้านี้ คณะกรรมการ Cloud Vulnerability Reward Program สรุปว่า 'ผลกระทบด้านความปลอดภัยของปัญหานี้ไม่เป็นไปตามเกณฑ์ที่จะได้รับรางวัล' และซอฟต์แวร์ 'ทำงานตามที่ตั้งใจไว้' Google ปฏิเสธการจ่ายค่าแจ้งรางวัลใด ๆ ทั้งสิ้น

ความขัดแย้ง: ณ วันที่ 18 มิถุนายน ตามรายงานของ The Register ระบบติดตามข้อบกพร่องภายในของ Google ยังคงแสดงสถานะของ ConfigConfusion เป็น P1/S1 โดยมีสถานะ 'กำลังดำเนินการ (ยอมรับแล้ว)' ซึ่งขัดแย้งกับจุดยืนสาธารณะที่ว่าไม่มีช่องโหว่ดังกล่าวอยู่

สถานะที่ไม่ได้รับการแก้ไข

จนถึงกลางเดือนมิถุนายน 2026 — กว่า 3 เดือนหลังจากการรายงานครั้งแรก — ช่องโหว่ดังกล่าวยังคงไม่ได้รับการแก้ไขหรืออุดช่องโหว่แต่อย่างใด โอ'ลีรีได้เผยแพร่บล็อกโพสต์งานวิจัยพร้อมรายละเอียดทางเทคนิคเต็มรูปแบบที่ olearysec.com

การเปลี่ยนแปลง VRP ปี 2026 ของ Google — บริบทโดยรวม

ในช่วงต้นเดือนพฤษภาคม 2026 Google ปรับโครงสร้างโครงการ Vulnerability Reward Programs สำหรับ Chrome และ Android ครั้งใหญ่ โดยอ้างถึงการเพิ่มขึ้นของเครื่องมือ AI ในการค้นหาช่องโหว่อย่างชัดเจน

การเปลี่ยนแปลงหลัก:

• รางวัลสำหรับ Chrome ลดลง ในเกือบทุกหมวดหมู่ โดย Google ให้เหตุผลว่าเครื่องมือ AI สามารถผลิตรายงานปริมาณมากที่คุณภาพต่ำได้ง่าย ดังนั้นจึงปรับโครงสร้างรางวัลไปยังข้อบกพร่องประเภทที่มีผลกระทบสูงและยากต่อการค้นหาด้วยระบบอัตโนมัติ
• รางวัลสูงสุดของ Android เพิ่มขึ้น — การเจาะช่องโหว่แบบ zero-click เต็มรูปแบบของชิป Titan M2 แบบต่อเนื่อง ตอนนี้ได้รับรางวัลสูงถึง 1.5 ล้านดอลลาร์สหรัฐ
• จำนวน CVE ของ Chrome เพิ่มขึ้นเป็นสี่เท่าเมื่อเทียบเป็นรายปี (จาก 52 รายการในช่วงต้นเดือนพฤษภาคม 2025 เป็น 252 รายการในช่วงต้นเดือนพฤษภาคม 2026) ซึ่ง Google อ้างว่าเป็นหลักฐานของการเพิ่มขึ้นของรายงานที่สร้างโดย AI

นักวิจารณ์ชี้ให้เห็นถึงความไม่ลงรอยกันอย่างน่าอึดอัด: Google ลดรางวัล Chrome เนื่องจาก 'เสียงรบกวนจาก AI' ในขณะเดียวกันก็ปฏิเสธรางวัลสำหรับรายงานที่มนุษย์ค้นคว้าอย่างละเอียดถี่ถ้วนระดับ CVSS 10.0 สำหรับข้อบกพร่องโครงสร้างพื้นฐานคลาวด์ โดยอ้างว่า 'ทำงานตามปกติ' ซึ่งเป็นคำตัดสินที่หลายคนในวงการความปลอดภัยมองว่าขาดวิสัยทัศน์และทำลายความไว้วางใจของนักวิจัย