در پی افزایش چشمگیر استفاده از ابزارهای هوش مصنوعی (AI) برای شناسایی آسیبپذیریها، گوگل ساختار برنامه باگ بانتی گوگل را برای مرورگر کروم، سیستمعامل اندروید و دستگاههای Pixel بازطراحی کرده است. این بازنگری در برنامه باگ بانتی گوگل باعث شده است که از یک طرف پاداشهای بخش کروم کاهش پیدا کنند و از طرف دیگر، جوایز مربوط به اندروید و دستگاههای Pixel به شکل قابل توجهی افزایش یابند.
بر اساس اعلام گوگل، نسخه جدید این برنامه بر آسیبپذیریهایی تمرکز دارد که بیشترین اثر را بر امنیت کاربران دارند؛ بهویژه مواردی که شناسایی آنها برای ابزارهای مبتنی بر هوش مصنوعی دشوارتر است. همچنین گوگل تأکید کرده است که گزارشهایی ارزشمندتر محسوب میشوند که شامل پیشنهاد پچ برای رفع آسیبپذیری باشند.
افزایش پاداشهای اندروید در طرح جدید برنامه باگ بانتی گوگل
گوگل در نسخه جدید برنامه Android & Google Devices VRP (برنامه پاداش آسیبپذیری اندروید و دستگاههای گوگل) تمرکز خود را بر آسیبپذیریهایی گذاشته است که بیشترین اثر مستقیم را بر کاربران دارند و در عین حال، شناسایی آنها برای ابزارهای مبتنی بر هوش مصنوعی دشوارتر است.
در همین راستا، ساختار پاداشها نیز به شکل قابل توجهی بهروزرسانی شده است:
- پاداش اکسپلویت بدون نیاز به تعامل کاربر (zero-click) روی Pixel Titan M در صورت پایداری (persistence) از 1 میلیون دلار به 1.5 میلیون دلار افزایش یافته است.
- پاداش اکسپلویت بدون پایداری از 500 هزار دلار به 750 هزار دلار رسیده است.
- استخراج داده از Secure Element اکنون تا سقف 375 هزار دلار پاداش دارد که نسبت به قبل (250 هزار دلار) رشد محسوسی را نشان میدهد.
گوگل علاوه بر این تغییرات، تأکید کرده است که در مدل جدید برنامه باگ بانتی، گزارشهایی ارزش بیشتری خواهند داشت که نهتنها آسیبپذیری را تشریح میکنند، بلکه شامل پیشنهاد پچ برای رفع ضعف نیز هستند.
تغییر رویکرد کروم در برنامه باگ بانتی گوگل
در حالی که بخش اندروید با افزایش چشمگیر پاداشها همراه بوده، وضعیت در مرورگر کروم متفاوت است و برنامه باگ بانتی گوگل در این حوزه با کاهش برخی جوایز مواجه شده است. طبق اعلام گوگل، استفاده گسترده از هوش مصنوعی، نوشتن گزارشهای طولانی و در ظاهر دقیق را بسیار ساده کرده، اما این نوع گزارشها لزوماً ارزش امنیتی بیشتری ایجاد نمیکنند.
بر همین اساس، تغییرات زیر اعمال شده است:
- پاداش پایه برای آسیبپذیریهای ایمنی حافظه (Memory Safety) اکنون 500 دلار تعیین شده است.
- جوایز مربوط به خواندن یا نوشتن دلخواه (arbitrary read/write) و اجرای کد از راه دور (RCE) بهطور کامل حذف شدهاند.
برخی پژوهشگران امنیتی گزارش دادهاند که سطح جدید پاداشها در بسیاری موارد تا 10 برابر کمتر از ساختار قبلی است. با این حال، برخی دستههای خاص همچنان ارزش بالایی دارند. برای مثال، یک اکسپلویت زنجیرهای کامل (full-chain exploit) در کروم همچنان میتواند تا 250 هزار دلار پاداش دریافت کند. همچنین، دور زدن مکانیزم MiraclePtr نیز در همین سطح پاداشگذاری شده است.
تأثیر هوش مصنوعی بر شناسایی آسیبپذیریها
به گفته گوگل، ظهور نسل جدید ابزارهای هوش مصنوعی پیشرفته مانند Claude Mythos از Anthropic و GPT‑5.4‑Cyber از OpenAI باعث تغییر اساسی در فرآیند شناسایی آسیبپذیریها شده و این تحول مستقیماً بر ساختار برنامه باگ بانتی گوگل اثر گذاشته است.
این ابزارها حتی با دسترسی محدود نیز موجب افزایش قابل توجه گزارشهای آسیبپذیری تولیدشده با کمک هوش مصنوعی شدهاند. در نتیجه بسیاری از برنامههای باگ بانتی با حجم بالایی از گزارشها مواجه شدهاند که بررسی آنها زمان و منابع زیادی نیاز دارد.
در همین زمینه:
- برنامه Internet Bug Bounty (IBB) بهطور موقت پذیرش گزارشهای جدید را متوقف کرده است.
- برخی سازمانها نیز از ایجاد عدم تعادل میان تعداد گزارشها و ظرفیت بررسی آنها خبر دادهاند.
ارائه نسخههای تحقیقاتی ویژه برای کروم
در ادامه این تغییرات، گوگل اعلام کرده است که نسخههای ویژهای از مرورگر کروم را برای پژوهشگران امنیتی منتشر خواهد کرد تا بررسی آسیبپذیریهایی مانند Arbitrary Read/Write و Memory Leak (افشای حافظه) سادهتر شود. هدف از ارائه این نسخهها، تسهیل بازتولید آسیبپذیریها و کمک به اعتبارسنجی سریعتر گزارشها است.
افزایش مجموع پرداختها در سال 2026، با وجود کاهش پاداش برخی بخشها
با وجود کاهش برخی پاداشها در بخش کروم، گوگل اعلام کرده است که مجموع پرداختیهای برنامه باگ بانتی گوگل همچنان روندی صعودی دارد.
طبق آمار منتشر شده:
- مجموع پرداختهای سال 2025 به رقم بیسابقه1 میلیون دلار رسیده است.
- پیشبینی میشود مجموع پرداختها در سال 2026 نیز افزایش یابد.
این آمار نشان میدهد که برنامههای باگ بانتی همچنان یکی از مهمترین ابزارهای صنعت فناوری اطلاعات برای تقویت امنیت محصولات نرمافزاری محسوب میشوند.
