Google調整Android與Chrome漏洞獎勵，降低部分獎金並取消加碼

Android漏洞保留最高150萬美元獎勵級距，適用於零點擊完整攻擊鏈，且能攻陷Pixel Titan M2安全晶片並具持續性的漏洞，若同樣是零點擊完整攻擊鏈，但不具持續性，最高獎金則為75萬美元。Chrome方面，研究人員若能在最新作業系統與硬體上完成瀏覽器程序完整攻擊鏈，最高可獲25萬美元，而要是回報成功利用Google認為受到MiraclePtr保護的記憶體配置，另有最高250,128美元加碼。

Google表示，AI與自動化工具加快漏洞發現速度，也讓測試案例的分析、修補建議與已知問題變體搜尋變得更容易。這使漏洞獎勵計畫需要重新區分哪些問題仍仰賴研究人員的經驗與攻擊鏈建構能力，而哪些問題已較容易由工具輔助產生。

在Android與Google裝置VRP，Google會優先處理對使用者風險較高且較不容易被AI工具自動找出的漏洞類型。針對Linux核心漏洞，Google也把重點移向Google維護的元件，當不屬於這類元件，研究人員需要提出可在Android或Google裝置上利用的具體證明。

Chrome VRP的變動則偏向回報品質與驗證流程，Google指出，AI已能產生冗長而詳細的漏洞說明，但其內部工具同樣能協助解釋問題與提出修補方向，因此會更重視可證明漏洞存在的具體資料，例如重現方式，以及協助驗證與分類問題的必要構件。Google也將逐步取消先前針對算繪程序RCE與任意讀寫漏洞設置的特別加碼。

Google接下來也會更新Chrome漏洞受理與重現基礎設施，釋出供研究人員使用的特殊Chrome組態，用來證明特權程序中的任意讀寫能力，以及受控制的瀏覽器記憶體洩漏。官方表示，雖然這些調整可能使單一漏洞回報可獲得的獎金下降，但預期2026年整體獎勵總額仍會增加。