Google 翻臉不認帳：研究員發現 CVSS 10.0 的 GCP 漏洞，先說「抓得好」後改口「運作正常」拒發獎金

在 2026 年最令人困惑的安全政策大逆轉事件中，Google 拒絕為一個位於其 Cloud Config Connector 中的嚴重且未修補漏洞發放獎金——儘管最初曾讚揚研究員，並將該缺陷列為最高嚴重性等級。此事件由《The Register》率先報導，讓整個安全社群質疑 Google 對研究員信任的承諾，以及其處理雲端基礎設施漏洞的方式。

ConfigConfusion 漏洞

安全研究員 Justin O'Leary 在 Config Connector 中發現了一個嚴重的缺陷。Config Connector 是一個開源的 Kubernetes 附加元件，讓組織可以透過 Kubernetes 管理其整個 Google Cloud 環境 。他將這個漏洞命名為 ConfigConfusion。

技術細節： Config Connector 在 Kubernetes 命名空間使用者嘗試管理 GCP 資源時，並未執行授權檢查。這使得任何具備組織層級權限的 Config Connector 服務帳戶，都能夠繞過 GCP 的 Identity and Access Management（IAM）控制，並將權限提升至最高層級 roles/owner，進而控制整個 GCP 組織——這是 Google Cloud 中所有公司資源的根節點 。O'Leary 將此漏洞評為 CVSS 10.0（最高嚴重性分數），因為一個僅具備基本 Kubernetes 命名空間存取權的攻擊者，就能取得某組織整個雲端環境及其所有儲存資料的完整管理控制權 。

Google 矛盾的回應

Google 對此事件的反應充滿了令人錯愕的矛盾。

階段一：「抓得好！」 O'Leary 於 2026 年 3 月 8 日向 Google 回報此漏洞 。，一名 Google 安全工程師接受了該報告，並回覆他「Nice Catch!」。該工程師表示已將此錯誤提交給相關產品團隊，並向 O'Leary 保證他們會與 Google Cloud 合作修復此缺陷，寫道：「我們將與產品團隊合作，確保這個問題獲得處理。修復完成後我們會通知您」。Google 將此錯誤標記為 （最高）以及 （嚴重——影響大量使用者，可能擾亂核心組織功能）。