近日，谷歌宣布，将对通过漏洞奖励计划报告的系统和应用程序中发现的漏洞赏金提高五倍，单个安全漏洞的新最高奖励金额为 15.15万美元。

谷歌表示：随着时间的推移，我们的系统已经变得更加安全，因此想要发现漏洞比之前更加困难，可能需更长的时间。鉴于此，我们将把奖励金额提高5倍。

如果在我们最敏感的产品中发现 RCE，奖励金额为 10.1万美元，如果报告质量优异，则奖励金额为 1.5 倍 ，也就是15.15万美元。

自7 月 11 日 00:00开始提交的漏洞报告均有资格使用新的奖励机制，获得相应漏洞赏金。

除了提供更高的报酬外，该公司最近还扩大了支付选项，包括通过 Bugcrowd 收取报酬的可能性。

谷歌 VRP 规则中更新的 "奖励金额 "部分提供了有关谷歌更改奖励金额和新支付结构的更多信息。

来源：谷歌

谷歌 VRP 的最新进展

上周，谷歌推出了 kvmCTF，这是 2023 年 10 月宣布的一项新的 VRP，旨在提高基于内核的虚拟机（KVM）管理程序的安全性。kvmCTF 专注于 KVM 管理程序中的虚拟机可触及漏洞，并为完全虚拟机逃逸漏洞提供 25 万美元的悬赏金。

一年前，该公司还将 Chrome 浏览器沙箱逃逸链漏洞的奖励提高了两倍。

自 2010 年推出漏洞奖励计划（VRP）以来，谷歌已向报告了 15000 多个漏洞的安全研究人员支付了 5000 多万美元的赏金。

仅去年一年，谷歌就支付了1000万美元，其中最高的赏金支付给了一名赏金猎人，他获得了11.33万美元。

有史以来最高的 VRP 赏金为 60.5 万美元，是 2022 年支付给 gzobqq 的，因为他报告了安卓漏洞链中的五个安全漏洞。2021年，同一位安全研究人员报告了另一个重要的安卓漏洞链，获得了 15.7 万美元的赏金。

参考来源：Google increases bug bounty rewards five times, up to $151K (bleepingcomputer.com)