谷歌2024年发放了8500万元漏洞赏金，单个漏洞最高奖励72万元

前情回顾·漏洞奖励计划动态

• 谷歌2023年发放了7100万元漏洞赏金，近年累计支出超4亿元

• 谷歌2022年发放了8200万元漏洞赏金，平均每个漏洞近3万元

• 微软2024财年发放了约1.2亿元漏洞赏金：平均每个漏洞8.6万元

• 微软2023财年发放了超1亿元漏洞赏金：平均每个漏洞8.5万元

3月12日安全内参消息，谷歌近日公布消息，2024年通过漏洞奖励计划支付了约1180万美元（约合人民币8550万元），660名报告了安全漏洞的研究人员获得了这些赏金。

据这家互联网巨头透露，自2010年建立首个漏洞奖励计划（VRP）以来，谷歌已累计支付超过6500万美元（约合人民币4.7亿元）的漏洞赏金。

不过，这一累计金额可能存在口径争议。因为去年谷歌曾表示，在2010年至2023年期间，公司共支付了5900万美元，按此计算加上2024年约为7100万美元。有媒体已向谷歌发送邮件寻求澄清。

图：2024年赏金总金额为1180万美元

2024年，谷歌调整了奖励项目结构，其中谷歌（主要Web产品）和云产品的最高奖励可达151515美元；移动产品的最高奖励可达30万美元；针对严重级别的Chrome漏洞，最高奖励可达25万美元。

谷歌表示，去年针对安卓和谷歌移动应用的漏洞报告，研究人员共获得了330万美元的奖励。尽管总体漏洞报告数量有所减少，但严重级别和高危漏洞的报告数量有所增加。

此外，谷歌向137名报告有效Chrome安全漏洞的研究人员支付了340万美元，其中单笔最高奖励达100115美元（约合人民币72.55万元），该奖励授予了一个MiraclePtr绕过漏洞。自2024年8月起，谷歌已将该漏洞的最高奖励提高至250128美元。

2024年10月，谷歌推出云VRP计划后，收到超过400份漏洞报告，并向研究人员支付了50多万美元的奖励。此外，谷歌还通过滥用行为VRP支付了超过29万美元的奖励。

在AI漏洞奖励计划方面，公司共收到150多份漏洞报告，并支付了超过5.5万美元的奖励。

此外，谷歌在两次bugSWAT活动中发放了37万美元的奖励，其中包括在一次针对大模型产品的现场黑客活动中支付的8.7万美元。

谷歌表示：“2025年，我们将迎来谷歌漏洞奖励计划成立15周年。在此期间，我们始终致力于与安全社区合作，推动创新，提升透明度，并将在未来继续这一承诺。”

参考资料：https://www.securityweek.com/google-paid-out-12-million-via-bug-bounty-programs-in-2024/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。