Google Nói 'Bắt Đẹp Lắm!' Rồi Từ Chối Tiền Thưởng Cho Lỗ Hổng Cloud Kinh Hoàng — Và Vẫn Chưa Sửa

Phản Ứng Mâu Thuẫn Của Google

Câu chuyện về phản ứng của Google là một chuỗi những mâu thuẫn đến chóng mặt.

Giai đoạn 1 — "Bắt đẹp lắm!" O'Leary đã báo cáo lỗi cho Google vào ngày 8 tháng 3 năm 2026 . Vào ngày 27 tháng 3, một kỹ sư bảo mật của Google đã chấp nhận báo cáo và nói với anh "Bắt đẹp lắm!" . Kỹ sư này cho biết họ đã gửi lỗi tới nhóm sản phẩm có liên quan và đảm bảo với O'Leary rằng họ sẽ làm việc với Google Cloud để sửa lỗi, viết: "Chúng tôi sẽ làm việc với nhóm sản phẩm để đảm bảo vấn đề này được giải quyết. Chúng tôi sẽ cho bạn biết khi vấn đề được khắc phục" . Google đã gán cho lỗi này mức độ ưu tiên P1 (cao nhất) và mức độ nghiêm trọng S1 (nghiêm trọng — ảnh hưởng đến tỷ lệ lớn người dùng và có thể làm gián đoạn các chức năng cốt lõi của tổ chức) .

Giai đoạn 2 — "Hoạt động bình thường." Vào ngày 7 tháng 4 — 11 ngày sau đó — O'Leary nhận được một tin nhắn từ Bot Bảo mật của Google đảo ngược quyết định . Hội đồng Chương trình Thưởng cho Lỗ hổng Đám mây kết luận rằng "tác động bảo mật của vấn đề này không đáp ứng các tiêu chí để đủ điều kiện nhận thưởng" và phần mềm "đang hoạt động bình thường" . Google từ chối mọi khoản tiền thưởng.

Sự mâu thuẫn: Tính đến thời điểm báo cáo của The Register vào ngày 18 tháng 6, hệ thống theo dõi lỗi nội bộ của Google vẫn liệt kê ConfigConfusion ở mức P1/S1 với trạng thái "đang tiến hành (đã chấp nhận)" — mâu thuẫn với quan điểm công khai rằng không có lỗ hổng nào tồn tại .

Tình Trạng Chưa Được Giải Quyết

Tính đến giữa tháng 6 năm 2026 — hơn ba tháng sau báo cáo ban đầu — lỗ hổng vẫn chưa được vá và chưa được giải quyết . O'Leary sau đó đã công bố một bài đăng trên blog nghiên cứu với đầy đủ chi tiết kỹ thuật tại olearysec.com .

Những Thay Đổi VRP Năm 2026 Của Google — Bối Cảnh Rộng Hơn

Vào đầu tháng 5 năm 2026, Google đã đại tu các Chương trình Thưởng cho Lỗ hổng (VRP) dành cho Chrome và Android, với lý do rõ ràng là sự gia tăng của các công cụ AI trong việc phát hiện lỗ hổng .

Những thay đổi chính:

• Tiền thưởng Chrome giảm ở hầu hết các hạng mục. Lý do của Google là các công cụ AI có thể dễ dàng tạo ra một lượng lớn các báo cáo chất lượng thấp, vì vậy họ tái cơ cấu phần thưởng để tập trung vào các loại lỗi có tác động cao hơn, khó tự động hóa hơn .
• Mức thưởng tối đa cho Android tăng — một vụ khai thác toàn chuỗi không cần nhấp chuột vào Titan M2 có khả năng tồn tại lâu dài hiện có giá lên tới 1,5 triệu đô la .
• Số lượng CVE của Chrome đã tăng gấp bốn lần so với cùng kỳ năm ngoái (từ 52 vào đầu tháng 5 năm 2025 lên 252 vào đầu tháng 5 năm 2026), điều mà Google coi là bằng chứng cho sự gia tăng của các báo cáo do AI tạo ra .

Các nhà phê bình cho rằng điều này tạo ra một sự tương phản khó xử: Google cắt giảm tiền thưởng Chrome vì "nhiễu từ AI" trong khi đồng thời từ chối trả thưởng cho một lỗ hổng hạ tầng đám mây CVSS 10.0 đã được một nhà nghiên cứu con người báo cáo một cách cẩn thận, với lý do rằng nó "hoạt động bình thường" — một quyết định mà nhiều người trong cộng đồng bảo mật cho là thiển cận và gây tổn hại đến lòng tin của các nhà nghiên cứu .