Google menja bug bounty nagrade zbog rasta AI prijava ranjivosti
Google je izmenio pravila za Chrome i Android Vulnerability Reward Programs zbog naglog rasta prijava ranjivosti koje nastaju uz pomoć AI alata. Kod Androida i Google uređaja fokus se pomera ka ranjivostima sa najvećim uticajem na korisnike i ka propustima koje AI teže pronalazi, dok su neke maksimalne nagrade povećane, uključujući do 1,5 miliona dolara za zero-click Pixel Titan M exploit sa persistence-om. Kod Chrome programa standardne isplate za pojedinačne ranjivosti značajno su smanjene, jer Google sada više vrednuje konkretan dokaz, reproducer i upotrebljive artefakte nego dugačke izveštaje. Kompanija očekuje da ukupno isplati više nagrada tokom 2026, iako će pojedinačne Chrome prijave često donositi manje novca.
AI menja ekonomiju pronalaženja ranjivosti. Kada alati mogu brzo da proizvedu veliki broj dugih prijava, vrednost se pomera sa same količine izveštaja na dokazivost, kvalitet, exploitability i konkretan doprinos zakrpi.
- Kod bug bounty programa jasno definisati šta se smatra korisnom i dokazivom prijavom
- Od istraživača tražiti reproducer, artefakte i konkretan uticaj, a ne samo dugačak opis ranjivosti
- Posebno nagrađivati ranjivosti koje imaju visok uticaj na korisnike i teško ih je automatski pronaći
- Uvesti procese za filtriranje AI-generisanih prijava koje nemaju dovoljno dokaza
- Pratiti kako AI alati menjaju odnos između broja prijava i kapaciteta timova da ih obrade