谷歌Chrome漏洞奖励升级：最高可达25万美元，推动高质量安全研究

谷歌公司今日震撼宣布，其Chrome漏洞奖励计划再次升级，将单一漏洞的最高奖励金额推至前所未有的25万美元！这一壮举标志着网络安全领域的新纪元，也点燃了全球安全研究人员的激情之火。

从8月28日起 ，谷歌正式启用了新的奖励评估标准，不再仅仅以发现漏洞的数量论英雄，而是更加注重漏洞的质量与潜在影响。对于那些能够通过功能性漏洞展示远程代码执行（RCE）的研究人员，谷歌慷慨地承诺了高达25万美元的奖励，且若RCE能在不损害渲染器的情况下实现，奖金更是上不封顶！

Chrome安全工程师Amy Ressler在公告中激动地表示：“现在是时候改进Chrome VRP奖励和金额了，我们要为那些默默守护网络安全、为我们报告漏洞的研究人员提供更好的激励机制和更明确的期望。我们鼓励大家进行更深入的研究，探索漏洞的全部影响和可利用潜力，共同筑起Chrome的安全长城。”

此外，谷歌还宣布将MiraclePtr绕过奖励翻倍，从10万美元提升至25万美元，进一步凸显了公司对高级漏洞的重视。同时，Google还根据漏洞的质量、影响和对Chrome用户的潜在危害，将其他类别的漏洞报告细分为“影响较小”、“中等影响”和“高影响”三个等级，并分别给予相应的奖励。

然而，值得注意的是，并非所有漏洞报告都能获得VRP奖励。谷歌明确表示，那些没有证明安全影响或潜在用户伤害的报告，以及纯粹理论或推测问题的报告，将不太可能有资格获得奖励。这一规定旨在确保奖励机制的有效性和公平性，激励研究人员专注于那些真正能够提升Chrome安全性的高质量漏洞。

与此同时，谷歌还宣布了其Play安全奖励计划的调整。由于可操作漏洞报告数量的减少，该计划将于8月31日关闭新报告的提交。然而，这并不意味着谷歌在网络安全领域的投入有所减少。相反，谷歌在7月启动了kvmCTF这一新的漏洞奖励计划，旨在提高基于内核的虚拟机（KVM）管理程序的安全性，并为完整的VM逃逸漏洞提供高达25万美元的奖励。

自2010年推出漏洞奖励计划以来，谷歌已累计向超过1.5万名漏洞安全研究人员支付了超过5000万美元的奖励。这一数字不仅见证了谷歌在网络安全领域的坚定承诺和卓越贡献，也彰显了全球安全研究人员的辛勤付出和卓越成就。如今，随着Chrome漏洞奖励计划的再次升级和kvmCTF的推出，我们有理由相信，网络安全领域的“黄金时代”已经到来！

参考来源：

Google increases Chrome bug bounty rewards up to $250,000 (bleepingcomputer.com)