Google이 Pixel의 Titan M2 칩을 해킹하면 $1.5M를 지급합니다

Source: Android Authority

Joe Maring / Android Authority

TL;DR

• 구글은 Titan M2 보안 칩을 목표로 하는 고급 제로‑클릭 Pixel 해킹에 대해 최대 150만 달러를 제공한다.
• 기본 Android 및 Chrome 취약점에 대한 보상은 감소하고, 여러 보너스 카테고리가 삭제된다.
• 연구자는 여전히 전체 체인 Chrome 익스플로잇에 대해 최대 25만 달러를 받을 수 있으며, MiraclePtr 보너스는 변함없이 유지된다.

Android Bounty Update

구글은 Android Vulnerability Reward Program(VRP)을 수정했다. 주요 변경 사항은 다음과 같다:

• 최대 150만 달러를 지급하는 고급, 지속형 Android 익스플로잇(이전 100만 달러).
• 여기에는 Titan M 보안 칩이 탑재된 Pixel 디바이스를 대상으로 하는 제로‑클릭 공격이 포함된다.
• 동일한 익스플로잇의 비지속형 버전은 75만 달러가 지급된다.

새 구조는 낮은 영향도의 보고서보다 사용자에게 심각한 영향을 미칠 수 있는 복잡한 버그에 초점을 맞춘다.

Chrome Bounty Changes

Android 보상이 증가하는 반면, Chrome 프로그램은 반대 방향으로 움직인다:

• 일부 Chrome 보상 금액이 낮아지고, renderer RCE나 임의 읽기/쓰기와 같은 보너스 카테고리가 삭제된다.
• 구글은 AI‑생성 취약점 보고서가 증가하면서 이러한 유형의 발견이 “거의 일상적”이 되었다고 언급한다.
• 특권 프로세스에서 임의 읽기/쓰기를 시연할 수 있도록 구글은 특별 Chrome 빌드를 제공한다.

감축에도 불구하고 프로그램은 다음을 제공한다:

• 최신 운영 체제와 하드웨어에서 전체 체인 브라우저‑프로세스 익스플로잇에 대해 최대 25만 달러.
• 잘 알려진 250,128 달러 MiraclePtr 보너스는 여전히 이용 가능하다.

구글은 개별 단순 버그에 대한 지급액은 감소하지만, 2026년 전체 보상 풀은 전체적으로 증가할 것이라고 밝혔다.

AI‑Focused Bug Bounty Program

2025년에 구글은 Gemini, Google Search, Workspace AI 도구 등을 포함하는 전용 AI 버그 바운티 프로그램을 시작했다. 주요 내용:

• 심각한 AI‑관련 취약점(예: 프롬프트 인젝션, 무단 행동, 데이터 유출)에 대해 최대 3만 달러 보상.
• AI 도구가 단순 버그를 쉽게 발견하게 만들었다는 구글의 관점에 따라, 실제 위험을 초래하는 기술적으로 난이도 높은 발견에 더 큰 보상을 제공한다.
• 연구자는 개념 증명뿐 아니라 보고서와 함께 수정 사항을 제출하도록 권장한다.

Summary

구글의 업데이트된 VRP는 변화하는 보안 환경에 맞춰 인센티브를 조정한다:

• 고위험, 복합 익스플로잇(특히 Titan M2 칩 관련)에는 훨씬 큰 보상이 주어진다.
• 단순하고 일상적인 버그는 AI 지원 발견 증가로 인해 보상이 감소하고 보너스 카테고리가 줄어든다.
• Chrome 및 AI 프로그램은 고부가가치 연구에 대한 상당한 인센티브를 유지하면서 책임 있는 공개와 수정 작업을 장려한다.