Google подвела итоги своей программы вознаграждений за уязвимости за 2025 год: компания выплатила исследователям $17,1 млн (около 1,6 млрд рублей). Это рекордный год для VRP и сразу на 40% больше, чем $11,8 млн (около 1,1 млрд рублей) годом ранее.
При этом число получателей выросло не так резко. В 2025-м выплаты получили 747 исследователей — это всего +13% к 2024 году. По цифрам видно простую вещь: находить баги в экосистеме Google стало заметно прибыльнее.
Какие продукты принесли исследователям больше всего денег
Если смотреть на направления, то основные суммы снова ушли в самые массовые и самые атакуемые поверхности: браузер, мобильная ОС, устройства и облако. Google отдельно раскрыла, сколько выплатили по ключевым зонам.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
- Chrome: $3,7 млн (около 350 млн рублей)
- Google Cloud: $3,57 млн (около 330 млн рублей)
- Android и Google Devices: $2,9 млн (около 270 млн рублей)
Суммы близкие, но лидер понятен. Chrome остаётся целью номер один, потому что это входная точка в интернет для миллионов людей и компаний.
AI-уязвимости вынесли в отдельную программу и уже платят
В 2025 году Google усилила фокус на уязвимостях, связанных с генеративным ИИ. Компания запустила отдельную программу AI VRP, которая концентрируется на рисках вроде prompt injection, утечек данных и «неправильного» поведения моделей. По этой программе уже выплатили $350 000 (около 33 млн рублей), а суммарные выплаты по AI-направлению достигли $890 000 (около 82 млн рублей).
AI VRP стартовала в октябре 2025 года. Google прямо объяснила, что безопасность генеративных продуктов требует отдельной экспертизы и не сводится к классическим багам в коде.
Показательный эпизод — один AI-ивент формата bugSWAT: там приняли 70 валидных отчётов и выплатили $400 000 (около 37 млн рублей).
Ивенты для багхантеров дали пятую часть всех выплат
Ещё один важный срез — офлайн-мероприятия, где исследователи атакуют заранее заданные цели и получают быстрый фидбек. Ивенты в Sunnyvale, Las Vegas и Mexico City принесли исследователям почти $3 млн (около 280 млн рублей). Это около 20% всех багбаунти-выплат Google за 2025 год.
Google также напомнила общий масштаб программы: с момента запуска VRP в 2010 году компания выплатила исследователям $81,6 млн (около 7,6 млрд рублей).
В своём отчёте компания сформулировала цель так: «Our goal remains to stay ahead of emerging threats, adapt to evolving technologies, and continue to strengthen the security posture of Google’s products and services».
Подробнее про цифры и категории Google раскрыла в записи Google VRPs in Review: 2025.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.