Google 将支付 150 万美元，如果你能破解 Pixel 的 Titan M2 芯片

Source: Android Authority

Joe Maring / Android Authority

TL;DR

• Google 现在为针对 Titan M2 安全芯片的高级零点击 Pixel 攻击提供最高 150 万美元 的奖励。
• 基础 Android 与 Chrome 漏洞的奖励金额被下调，多个奖金类别被移除。
• 研究人员仍可获得最高 25 万美元 的完整链 Chrome 漏洞奖励，且 MiraclePtr 奖金保持不变。

Android 赏金计划更新

Google 已对 Android 漏洞奖励计划（VRP）进行修订。主要变化如下：

• 最高 150 万美元 的高级、持久性 Android 漏洞奖励（此前为 100 万美元）。
• 这包括针对使用 Titan M 安全芯片的 Pixel 设备的零点击攻击。
• 同一漏洞的非持久化版本奖励 75 万美元。

新的奖励结构将重点从低影响报告转向可能对用户产生严重影响的复杂漏洞。

Chrome 赏金计划变动

虽然 Android 的奖励在提升，Chrome 的计划却朝相反方向调整：

• 某些 Chrome 奖励金额被下调，渲染进程 RCE 或任意读写等奖金类别被取消。
• Google 归因于 AI 生成的漏洞报告增多，使这些类型的发现“几乎成为常规”。
• 为了仍让研究人员能够在特权进程中展示任意读写，Google 正发布特殊的 Chrome 构建版本。

尽管削减，计划仍提供：

• 对最新操作系统和硬件上的完整链浏览器进程漏洞，最高 25 万美元 的奖励。
• 众所周知的 250,128 美元 MiraclePtr 奖金仍可获取。

Google 表示，尽管对简单漏洞的单笔奖励在下降，2026 年的整体奖励池仍将增长。

AI 方向的漏洞赏金计划

2025 年，Google 推出了专门的 AI 漏洞赏金计划，覆盖 Gemini、Google Search 以及 Workspace AI 工具等产品。要点如下：

• 对严重的 AI 相关漏洞（如提示注入、未授权操作、数据泄露）提供最高 3 万美元 的奖励。
• 该计划体现了 Google 认为 AI 工具让发现简单漏洞更容易，因此现在更侧重奖励技术难度更高、具备真实风险的发现。
• 鼓励研究人员在提交报告时一并提供修复方案，而不仅仅是概念验证。

总结

Google 更新后的 VRP 旨在使激励与不断演变的安全形势保持一致：

• 高影响、复杂的漏洞（尤其是涉及 Titan M2 芯片的）将获得显著更高的奖励。
• 简单、常规的漏洞 因 AI 辅助发现而奖励下降，奖金类别也相应减少。
• Chrome 与 AI 项目仍保留对高价值研究的丰厚激励，同时推动负责任的披露与修复。