Googleは脆弱性報奨金プログラム(VRP)の記念碑的な年を報告し、2025年に倫理的ハッカーに1700万ドル以上を授与しました。これはプログラムの歴史で最高額の支払いです。
このマイルストーンは2024年と比較して40%の増加を表しており、Googleの長年のバグバウンティイニシアティブの15周年記念と一致しています。
記録的な支払いは、サイバー脅威がより高度化するにつれて、クラウドソース型セキュリティの重要性の高まりを浮き彫りにしています。
全体で、世界中の700人以上のセキュリティ研究者がGoogleのエコシステム全体で脆弱性を責任ある方法で報告することで報奨を受け、同社が悪用されるリスクが実際に発生する前に積極的に軽減するのを支援しました。
2025年の重要な進展は、人工知能システムの保護に向けたGoogleの戦略的シフトでした。
AI技術の急速な採用と進化する脅威環境を認識して、同社専門のAI脆弱性報奨金プログラムを導入しました。
この新しいイニシアティブは、AI関連の発見に特に対応した、より明確なテストガイドラインと定義された報奨体系を提供します。これまではより広いAbuse VRPの下で処理されていました。
この拡張は、AI悪用、モデル操作、プロンプトインジェクション攻撃に関する懸念の増加を反映しています。
GoogleはまたChrome VRPを拡張して、Gemini統合などのAIを搭載した機能に関連する脆弱性を含め、AI駆動ユーザー体験の保護により深いフォーカスを置いていることを示しています。
AI以外にも、Googleはオープンソースセキュリティと協調研究への投資を強化し続けました。
同社はソフトウェア依存関係の脆弱性を検出するために設計されたオープンソースツールであるOSV-SCALIBRのパッチ報奨プログラムを立ち上げました。
革新的なスキャンニングプラグインを寄稿するセキュリティ研究者は報奨の対象となり、外部からの貢献がGoogleが内部セキュリティの問題を特定し修復するのをすでに支援しており、漏洩したシークレットを含みます。
ライブハッキングイベントはGoogleのコミュニティエンゲージメント戦略の基盤であり続けています。
招待制のbugSWATプログラムを通じて、同社は実世界環境で高い影響を持つ脆弱性を特定するための一流の研究者を集めました。
これらのイベントは脆弱性発見を加速させたのみならず、Googleのエンジニアとグローバルセキュリティコミュニティの間の協力も促進しました。
これらのイベントは、多様な攻撃面全体の複雑な脆弱性を発見する際にライブ協調テストの有効性を実証しています。
翻訳元: https://cyberpress.org/google-bug-bounty-payouts/