答案已发布前天Last edited 前天17 来源

谷歌翻脸！先夸“抓得好”，后拒奖金：CVSS 10.0的GCP漏洞被认定为“设计如此”

安全研究员 Justin O'Leary 在谷歌云 Config Connector 中发现一个严重的 IAM 授权绕过漏洞（ConfigConfusion），CVSS 评分高达 10.0。该事件凸显了谷歌漏洞奖励计划（VRP）内部的紧张关系：2026年5月初，谷歌以 AI 生成提交激增为由大幅削减 Chrome 赏金，却同时拒绝一位人类研究员精心报告的 GCP 关键漏洞。

使用 Studio Global AI 搜索并核查事实浏览更多热门页面

10K0

Abstract illustration of a Kubernetes cluster with a lock being bypassed by an unauthorized user, representing the ConfigConfusion IAM bypass vulnerability in Google Cloud Config C — Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vulnThe ConfigConfusion vulnerability allows a Kubernetes namespace user to bypass GCP IAM controls and escalate to full organization-level admin rights.
AI 提示
Create a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, drawn primarily from The Register's exclusive reporting and supporting sources.. Topic tags: general, government, documentation, general web, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illust
openai.com

在今年最令人费解的安全政策反转事件中，谷歌拒绝为谷歌云 Config Connector 中一个严重且未修复的漏洞支付漏洞奖金——尽管它最初曾称赞这位研究员，并将该漏洞评为最高严重级别。据《The Register》率先报道，这一事件让安全社区开始质疑谷歌对研究人员诚信的承诺，以及其处理云基础设施漏洞的方式。

ConfigConfusion 漏洞详情

安全研究员 Justin O'Leary 在 Config Connector 中发现了一个严重缺陷。Config Connector 是一个开源 Kubernetes 插件，组织可以通过它用 Kubernetes 来管理整个谷歌云环境。他将这个漏洞命名为 ConfigConfusion。

技术细节： Config Connector 在 Kubernetes 命名空间用户尝试管理 GCP 资源时没有进行授权检查。这使得任何拥有组织级权限的 Config Connector 服务账户都可以绕过 GCP 的身份与访问管理（IAM）控制，并升级到最高控制级别——roles/owner——从而掌控整个 GCP 组织，而组织是谷歌云中所有公司资源的根节点。O'Leary 将该漏洞评为 CVSS 10.0，即最高严重等级，因为拥有基本 Kubernetes 命名空间访问权限的攻击者可以完全管理整个组织的云环境及其存储的所有数据。

谷歌自相矛盾的回应

谷歌对此事的回应充满了令人眩晕的矛盾。

第一阶段——“抓得好！” O'Leary 于 2026年3月8日 向谷歌报告了该漏洞。在，一名谷歌安全工程师接受了这份报告，并告诉他“抓得好！”。该工程师表示已向相关产品团队提交了漏洞报告，并向 O'Leary 保证他们会与谷歌云一起修复该漏洞，他写道：“我们会与产品团队合作确保这个问题得到解决。修复后我们会通知你” 。谷歌将该漏洞标记为（最高）和（关键——影响大量用户，可能中断核心组织功能）。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜索并核查事实

人们还问