جایزه میلیون دلاری گوگل برای شکار سختترین حفرههای امنیتی

گوگل در تازهترین بازطراحی برنامه باگبانتی خود، سقف پاداش کشف برخی از پیچیدهترین حفرههای امنیتی در اندروید، سختافزارهای گوگل و مرورگر کروم را تا ۱.۵ میلیون دلار افزایش داده است؛ رقمی که نشان میدهد این غول فناوری برای شناسایی آسیبپذیریهای بسیار دشوار، بیش از هر زمان دیگر روی همکاری هکرهای کلاهسفید و محققان امنیتی حساب باز کرده و در عین حال، پاداش حفرههایی را که شناساییشان با کمک هوش مصنوعی آسانتر شده، پایین آورده است.
کشف حفره امنیتی گوگل
به گزارش بهروزترینها گوگل اعلام کرد در نسخه جدید برنامههای پاداش گزارش آسیبپذیری(Bug Bounty)، برای کشف برخی از دشوارترین حفرههای امنیتی در محصولات خود، تا سقف ۱.۵ میلیون دلار پاداش پرداخت خواهد کرد. این برنامه، طیف وسیعی از محصولات شامل اندروید، سختافزارهای اختصاصی گوگل و مرورگر کروم را پوشش میدهد و با هدف تشویق محققان امنیتی به کشف و افشای مسئولانه حفرههای پیچیده بازطراحی شده است.
بر پایه این طرح تازه، بالاترین سطح پاداش به سناریویی اختصاص دارد که در آن، یک حفره امنیتی زنجیره کامل در تراشه امنیتی Titan M2 گوشیهای پیکسل مورد سوءاستفاده قرار گیرد؛ حفرهای که هم «بدون کلیک» (Zero-Click) باشد و هم «پایداری» (Persistence) داشته باشد؛ یعنی مهاجم پس از یکبار نفوذ، کنترل خود را بر دستگاه حفظ کند. گوگل این سناریو را از نظر فنی یکی از سختترین انواع حملات در چارچوب برنامه باگبانتی خود توصیف کرده و برای آن سقف پاداش ۱.۵ میلیون دلاری تعیین کرده است. در مواردی که همان نوع حفره بدون ویژگی پایداری کشف شود، همچنان امکان دریافت پاداش تا سقف ۷۵۰ هزار دلار وجود خواهد داشت.
در حوزه مرورگر کروم نیز ساختار جوایز بهروز شده است. بر این اساس، آسیبپذیریهایی که به صورت زنجیرهای و روی سیستمعاملها و سختافزارهای بهروز منجر به دور زدن لایههای امنیتی مرورگر میشوند، میتوانند تا ۲۵۰ هزار دلار پاداش به همراه داشته باشند. علاوه بر این، گوگل برای حفرههایی که موفق میشوند تخصیصهای حافظه محافظتشده توسط الگوریتم MiraclePtr را با موفقیت دور بزنند، یک جایزه اضافی به مبلغ ۲۵۰ هزار و ۱۲۸ دلار در نظر گرفته است؛ اقدامی که نشاندهنده تمرکز ویژه این شرکت بر امنیت حافظه و مقابله با اکسپلویتهای مبتنی بر خطاهای مدیریت حافظه است.
شناسایی آسیبپذیری و حفرهها توسط هوش مصنوعی
گوگل همزمان با افزایش سقف پاداش برای حفرههای بسیار دشوار، اعلام کرده است که مبالغ پرداختی برای انواعی از آسیبپذیریها که شناسایی آنها با استفاده از ابزارها و مدلهای هوش مصنوعی سادهتر شده، کاهش پیدا کرده است. به این ترتیب، این شرکت تلاش میکند منابع مالی برنامه باگبانتی را به سمت کشف نقاط ضعف کمیابتر و پیچیدهتر هدایت کند؛ نقاط ضعفی که هنوز هم نیازمند مهارت انسانی بالا و تحلیل عمیق هستند.
شایلش ساینی، مدیر اندروید، الکس گاف، مهندس امنیت اطلاعات گوگل و تونی مندز، مدیر برنامههای فنی، در بیانیه مشترکی اعلام کردند: «ما میدانیم که شناسایی برخی از حفرههای امنیتی تاثیرگذار همچنان فوقالعاده دشوار است و از همکاری با جامعه محققان برای کشف و افشای آنها بسیار قدردانی میکنیم.» به گفته آنها، برنامههای پاداش آسیبپذیری نقشی کلیدی در بالابردن سطح امنیت اکوسیستمهای نرمافزاری و سختافزاری گوگل دارند.

براساس گزارش فوربس، برنامههای پاداش باگ یا همان باگبانتی، به یکی از ابزارهای اصلی شرکتهای فناوری برای حفظ امنیت بالا تبدیل شدهاند. گوگل تنها در سال ۲۰۲۵ حدود ۱۷ میلیون دلار به محققان امنیتی خارجی – یا به بیان دیگر، هکرهای کلاهسفید – پرداخت کرده است تا آسیبپذیریهای امنیتی را در محصولات این شرکت شناسایی و بهطور مسئولانه گزارش کنند. این رقم نشان میدهد گوگل برای استفاده از تخصص جامعه امنیتی مستقل و کاهش ریسک حملات واقعی، سرمایهگذاری جدی انجام میدهد.
در مجموع، نسخه جدید برنامه باگبانتی گوگل با ترکیبی از افزایش سقف جوایز برای پیچیدهترین حفرهها و تنظیم پاداشها در مواجهه با قدرت روزافزون هوش مصنوعی، تلاش میکند تعادلی میان استفاده از فناوریهای نوین و تکیه بر مهارت و خلاقیت محققان امنیتی برقرار کند؛ تعادلی که در نهایت به بهبود امنیت کاربران و زیرساختهای دیجیتال این شرکت منجر خواهد شد.




