谷歌这15年一直挺大方的,给出来的漏洞赏金累积到了8160万美元。关键的几个数据大家得记牢:2025年发了1710万美元,比前一年的1200万美元多了40%;Chrome这块给了370万美元,云安全这边是350万美元,AI领域才89万美元。咱们拿Chrome来说,头号高手是个韩国人叫李承贤,一个人独领了81.1万美元。说回整体情况,2025年大家参与得挺积极,超过700名安全研究人员拿到了报酬。谷歌特意给了个250,000美元的大奖,发给展示完整沙箱逃逸攻击的Chrome研究者。光说Chrome浏览器这块,公司就给超过100名报告缺陷的研究员分了370万美元的奖金。还有个成绩是,谷歌说这帮人的努力确实帮了大忙,把V8引擎的沙箱保护加固了,内存安全机制也有所改进。 搞云安全的研究员也没闲着,他们把兴趣都放在了云产品上。因为这部分成绩突出,他们拿了超过350万美元的奖金。2025年光靠云VRP就处理了1774份安全报告。有143位不同的人拿到了钱,这说明大家伙儿的参与度很高。云VRP是2024年10月才启动的,去年算是它全面运转的第一年。谷歌当时也讲了不少好话,说研究人员的贡献帮他们找到关键漏洞、增强了云安全、保护了用户。特别是不少报告给他们提了醒,导致几个云产品做了大的架构变动。 去年他们在安卓和设备安全这块也没少花钱,发给发现问题的研究人员有超过290万美元。谷歌也注意到严重漏洞变多了,他们解释这跟平台硬化的投资有关,比如安卓转向内存安全语言、还有硬件措施防内存损坏。 说到AI那块的VRP计划给了超过89万美元的奖励。非AI相关的奖励总共是482,000美元,再加上通过OSS VRP的327,000多美元。最后谷歌还表态了,他们的目标还是要领先于新兴威胁、适应新技术、继续把产品安全做好,而这一切都离不开跟外部研究人员社区的合作。