Google подвёл итоги своей программы вознаграждений за найденные уязвимости за 2025 год. Цифра получилась вполне заметная даже по меркам крупных бигтех-компаний: исследователям безопасности выплатили $17,1 млн. Это рекорд для программы, и на таком фоне новость уже не выглядит внутренней бухгалтерией отдела безопасности. Скорее это хороший маркер того, насколько серьёзно компания относится к внешним исследователям и насколько дорогими стали действительно полезные находки.

Если по-честному, bug bounty давно перестал быть просто красивой PR-историей в духе «мы любим сообщество». Когда компания платит такие суммы год за годом, это уже полноценный рабочий механизм защиты продуктов. Не вместо внутренней безопасности, а вместе с ней. И в 2025 году Google это ещё раз показал довольно наглядно.

Сколько Google выплатил и почему это заметно

За 2025 год Google выплатил $17,1 млн вознаграждений 747 исследователям. Для сравнения, в 2024 году сумма была заметно ниже — около $11,8 млн, а число награждённых составило 660 человек. То есть выплаты выросли резко, а не символически. С 2010 года общий объём вознаграждений по программе уже достиг $81,6 млн.

Сам по себе рост тут важен не только как красивая цифра. Он показывает, что рынок уязвимостей становится дороже, а сильные находки в браузерах, облаке, мобильной платформе и AI-сервисах стоят для компании всё больше. И это логично: цена хорошей ошибки сегодня — не только баг, а потенциальный доступ к огромной пользовательской базе, данным, облачной инфраструктуре или цепочке эксплуатации.

Куда ушли деньги

Если смотреть по направлениям, картина получается довольно интересная. На Android и Google Devices ушло $2,9 млн. На уязвимости в Chrome — $3,7 млн. По облачным продуктам Google выплачено ещё около $3,5 млн, причём премии там получили 143 исследователя. За находки в открытых проектах компания выплатила 62 премии на общую сумму $327 тысяч. Ещё $890 тысяч пришлись на AI-направление.

И вот здесь уже начинается самое интересное. По распределению видно, где сейчас у Google болит сильнее всего или, точнее, где компания особенно активно готова покупать внешнюю экспертизу. Chrome, cloud и Android — это ожидаемо. Но отдельный AI-бюджет уже выглядит как важный симптом времени: модели, AI-функции и сопутствующая логика перестали быть «чем-то экспериментальным» и официально вошли в список направлений, где поиск уязвимостей стоит реальных денег.

Самая большая выплата — за обход песочницы Chrome

Максимальная разовая награда в 2025 году составила $250 000. Её выплатили за логическую ошибку в IPC-механизме Chrome, которая позволяла построить эксплойт для выполнения кода в обход sandbox-изоляции браузера. И это как раз тот случай, когда сумма выглядит вполне объяснимой.

Баги такого уровня — это уже не «кнопка поехала» и не условный мелкий крэш на экзотическом вводе. Это история про реальную цепочку атаки и про возможность вылезти за пределы защиты, которая в браузере вообще-то должна держать удар. За такие вещи и должны платить много. Иначе их будут находить совсем другие люди и уже совсем не для отчёта в Google.

Почему это важно не только для Google

Эта новость важна не только как очередной отчёт одной крупной компании. Она показывает, что зрелая программа bug bounty остаётся рабочим инструментом даже в 2026 году, когда вокруг безопасности уже слишком много автоматизации, AI-шумов и разговоров о том, что «всё найдут сканеры и модели». Не найдут. Хорошие исследователи по-прежнему стоят дорого, и сложные баги по-прежнему требуют мозгов, а не только пайплайна.

Плюс это ещё и сигнал другим компаниям. Если ты делаешь браузер, облако, мобильную платформу, инфраструктурный сервис или активно вкручиваешь AI в продукты, но при этом экономишь на нормальной программе вознаграждений, ты не экономишь. Ты просто откладываешь оплату до более неприятного момента. И там чек обычно уже хуже.

Что говорит рост выплат про рынок уязвимостей

Рост сумм при относительно умеренном росте числа исследователей намекает на простую вещь: качественные находки дорожают. Не обязательно потому, что багов стало больше. Скорее потому, что критические баги в современных продуктах труднее находить, сложнее демонстрировать и дороже исправлять, если они уйдут не туда.

Особенно это заметно по Chrome и облаку. Там ошибки уже давно не живут в мире «один баг — одна кнопка — один патч». Это чаще история про сложную поверхность атаки, многослойные защиты, песочницы, IPC, внутренние механизмы безопасности, сервисные связки и всё то, что выглядит скучно до первого настоящего инцидента.

Отдельный момент — AI

AI-направление пока не выглядит самым дорогим в общей таблице выплат, но сам факт его появления как отдельной зоны вознаграждений уже важен. Когда компания начинает официально платить за AI-уязвимости, это значит, что тема перешла из стадии презентаций в стадию эксплуатационных рисков. А там уже всё по-взрослому: утечки данных, обход защит, странное поведение системы, злоупотребление логикой и прочие сюрпризы, которые маркетинговые слайды обычно не очень любят.

Так что $890 тысяч в этой строке — это не «пока мало». Это скорее первый нормальный признак того, что AI-безопасность становится частью общей практики vulnerability research, а не отдельным кружком футурологов.

Итог

В 2025 году Google не просто поставил новый рекорд по выплатам багхантерам, а ещё раз показал, что серьёзная программа вознаграждений — это нормальная часть большой продуктовой безопасности. $17,1 млн, 747 исследователей, крупные выплаты по Chrome, cloud, Android и AI — всё это выглядит не как красивый отчёт для галочки, а как вполне рабочая модель взаимодействия с внешним исследовательским сообществом.

Для индустрии вывод тоже вполне понятный. Хорошая bug bounty-программа — это уже не бонус и не модная опция. Это один из способов не узнавать о критичных дырах из новостей, отчётов о взломе и очень нервных внутренних созвонов.

Официальный источник: Google VRPs in Review – 2025.