**Google** überarbeitet seine Programme für Schwachstellenbelohnungen (VRPs) für Android und Chrome erheblich und bietet beträchtliche Prämien für die schwierigsten Exploits, während es die Auszahlungen für Schwachstellen neu kalibriert, die künstliche Intelligenz (KI) nun leichter identifizieren kann. ### Komplexität belohnen Die Höchstprämie von 1,5 Millionen US-Dollar ist für Zero-Click-Exploits der **Pixel** Titan M2-Sicherheitschip-Full-Chain mit Persistenz reserviert. Dies stellt das technisch anspruchsvollste Angriffsszenario im Programm dar. Dieselben Exploits, jedoch ohne Persistenz, berechtigen zu bis zu 750.000 US-Dollar. Für **Google Chrome** haben Full-Chain-Browserprozess-Exploits auf aktuellen Betriebssystemen und Hardware nun Prämien von bis zu 250.000 US-Dollar, mit einem zusätzlichen Bonus von 250.128 US-Dollar für die erfolgreiche Ausnutzung von MiraclePtr-geschützten Speicherzuweisungen. "Wir wissen, dass bestimmte besonders wirkungsvolle Exploits unglaublich schwierig zu erreichen sind, und wir haben die Zusammenarbeit mit der Forschergemeinschaft, um sie zu entdecken und aufzudecken, sehr geschätzt", erklärte **Google** in einem Blogbeitrag. "Wir wollen diese Partnerschaft ausbauen, indem wir weiterhin die höchsten Belohnungsstufen für Android und Chrome betonen." ### Anpassung an KI bei der Bug-Jagd **Google** passt seinen Ansatz für Schwachstellenberichte angesichts der zunehmenden Fähigkeiten von KI an. Für das Chrome-Programm verlagert sich der Fokus auf prägnante Berichte, die nur Bug-Nachweise und wesentliche Artefakte enthalten, anstatt auf lange schriftliche Analysen, die KI nun automatisch erstellen kann. Das Android-Programm wird seinen Fokus auf Linux-Kernel-Schwachstellen in von **Google** verwalteten Komponenten eingrenzen, es sei denn, Forscher können eine konkrete Ausnutzbarkeit auf Android-Geräten nachweisen. "Während KI es mühelos gemacht hat, lange, detaillierte Ausarbeitungen zu erstellen, haben sich auch unsere internen Werkzeuge weiterentwickelt, um uns zu helfen, Fehler automatisch zu erklären und Korrekturen vorzuschlagen", fügte das Unternehmen hinzu. ### Rekordjahr für Bug-Bounties Diese Umstrukturierung des VRP folgt auf ein Rekordjahr für die Bug-Bounty-Bemühungen von **Google**. Das Unternehmen zahlte 2025 17,1 Millionen US-Dollar an 747 Forscher, ein Anstieg von über 40 Prozent gegenüber 2024 und ein Allzeithoch. Seit dem Start des Programms im Jahr 2010 haben die Gesamtauszahlungen 81,6 Millionen US-Dollar überschritten. **Google** geht davon aus, dass die gesamten aggregierten Prämien, die 2026 gezahlt werden, steigen werden, trotz Reduzierungen bei einigen individuellen Prämienbeträgen.