‘İyi Yakalama’ Dediler, Sonra Ödülü Reddettiler: Google’ın Çelişkili Güvenlik Politikası

Google'ın Çelişkili Tepkisi

Google'ın yanıtı, bir dizi baş döndürücü çelişkiyle dolu.

Aşama 1: "İyi yakalama!" O'Leary, açığı 8 Mart 2026'da Google'a bildirdi . 27 Mart'ta bir Google güvenlik mühendisi raporu kabul etti ve ona "İyi yakalama!" dedi . Mühendis, ilgili ürün ekibine bir hata kaydı açtıklarını ve O'Leary'ye Google Cloud ile birlikte kusuru gidermek için çalışacaklarına dair güvence vererek şunları yazdı: "Sorunun ele alındığından emin olmak için ürün ekibiyle birlikte çalışacağız. Sorun çözüldüğünde size haber veririz" . Google, hataya P1 önceliği (en yüksek) ve S1 ciddiyeti (kritik – kullanıcıların büyük bir yüzdesini etkiler ve temel organizasyonel işlevleri sekteye uğratabilir) atadı .

Aşama 2: "Amaçlandığı gibi çalışıyor." 7 Nisan'da – yani 11 gün sonra – O'Leary, Google Güvenlik Botu'ndan kararı tersine çeviren bir mesaj aldı . Bulut Güvenlik Açığı Ödül Programı paneli, "bu sorunun güvenlik etkisinin bir ödüle hak kazanma kriterlerini karşılamadığı" ve yazılımın "amaçlandığı gibi çalıştığı" sonucuna vardı . Google herhangi bir ödül ödemeyi reddetti.

Çelişki: The Register'ın 18 Haziran tarihli haberine göre, Google'ın iç hata izleyicisi ConfigConfusion'u hâlâ P1/S1 ve durumu "devam ediyor (kabul edildi)" olarak listeliyordu. Bu, şirketin kamuoyuna yaptığı 'açık yok' açıklamasıyla çelişiyor .

Çözümlenmemiş Durum

Haziran 2026'nın ortası itibarıyla – yani ilk rapordan üç aydan uzun bir süre sonra – güvenlik açığı hala yamanmamış ve çözülmemiş durumda . O'Leary, olearysec.com adresinde tam teknik detayları içeren bir araştırma blog yazısı yayınladı .

Google'ın 2026 VRP Değişiklikleri – Daha Geniş Bağlam

Mayıs 2026'nın başlarında Google, Chrome ve Android için Güvenlik Açığı Ödül Programlarını (VRP) elden geçirdi ve bunu açıkça yapay zeka araçlarının güvenlik açığı keşfindeki yükselişine bağladı .

Anahtar değişiklikler:

• Chrome ödemeleri çoğu kategoride düşürüldü. Google'ın gerekçesi, yapay zeka araçlarının çok sayıda düşük kaliteli başvuru üretebilmesiydi, bu yüzden ödüller daha yüksek etkili ve otomatize edilmesi zor hata sınıflarına yönlendirildi .
• Android'de en yüksek ödemeler arttı – kalıcılığa sahip sıfır tıklamalı tam zincirli bir Titan M2 güvenlik açığı artık 1,5 milyon dolara kadar ödüllendiriliyor .
• Chrome'un yayınladığı CVE sayısı yıllık bazda dört katına çıktı (Mayıs 2025 başına kadar 52'den Mayıs 2026 başına kadar 252'ye). Google bunu, yapay zeka kaynaklı bildirim artışının kanıtı olarak gösterdi .

Eleştirmenler, Google'ın bir yandan "yapay zeka gürültüsü" nedeniyle Chrome ödemelerini kısarken, diğer yandan bir insan araştırmacının özenle raporladığı CVSS 10.0'lık bir bulut altyapı hatasını 'amaçlandığı gibi çalışıyor' diyerek reddetmesinin rahatsız edici bir çelişki yarattığını savunuyor. Güvenlik camiasındaki birçok kişi bu kararı kısa görüşlü ve araştırmacı güvenine zarar verici olarak nitelendiriyor .