SchwachstellenKI-SicherheitCyberkriminalität

Google reformiert Bug-Bounty-Programme: Chrome-Prämien sinken, Android-Rewards steigen durch KI-Boom

Von CyberDeutsch Redaktion
Google reformiert Bug-Bounty-Programme: Chrome-Prämien sinken, Android-Rewards steigen durch KI-Boom
Zusammenfassung

Google hat seine Vulnerability-Reward-Programme für Chrome und Android grundlegend überarbeitet, um auf die wachsende Nutzung von KI-Tools zur Schwachstellenentdeckung zu reagieren. Während die maximalen Auszahlungen für kritische Android- und Pixel-Exploits deutlich gestiegen sind – etwa auf 1,5 Millionen Dollar für Zero-Click-Angriffe mit Persistence – sinken die Chrome-Prämien erheblich. Google konzentriert sich künftig stärker auf verwertbare Berichte mit konkretem Exploitability-Nachweis und bevorzugt weniger detaillierte, dafür präzisere Submissions. Die Änderungen reflektieren das Problem, das auch andere Organisationen plagen: KI-gesteuerte Sicherheitsforschung hat zu einer Flut von Meldungen geführt, die etablierte Bug-Bounty-Programme überfordert. Für deutsche Unternehmen und Behörden sind diese Anpassungen relevant, da sie die Landscape der Schwachstellenmeldung verändern und Sicherheitsforscher stärker auf Qualität statt Quantität ausrichten. Zugleich signalisiert Googles erhöhtes Gesamtbudget für 2026 die gestiegene Bedeutung kritischer Sicherheitslücken in einer von KI-Tools geprägten Ära.

Google zahlt 2025 Rekordsummen aus – 17,1 Millionen Dollar flossen an Sicherheitsforscher. Doch die Verteilung verschiebt sich dramatisch. Der Grund liegt in der Proliferation von KI-Tools wie Anthropic Claude Mythos und OpenAI GPT-5.4-Cyber, die Schwachstellen quasi-automatisiert aufspüren.

Bei Android und Google-Geräten erhöht Google die maximalen Auszahlungen erheblich: Zero-Click-Exploits für Pixel Titan M mit Persistenz bringen jetzt 1,5 Millionen Dollar statt einer Million. Exploits ohne Persistenz steigen von 500.000 auf 750.000 Dollar. Für Datenabflüsse aus dem Secure Element verdoppelt sich die Prämie auf 375.000 Dollar. Google konzentriert sich dabei auf Sicherheitslücken mit höchster Nutzerwirkung – also Fehler, die schwer für KI-Tools zu finden sind.

Chrome hingegen erlebt ein Prämien-Debakel: Die Basis-Rewards für Memory-Safety-Bugs fielen auf 500 Dollar, mit Multiplikatoren für Erreichbarkeit und Exploitierbarkeit. Sicherheitsforscher berichten von Kürzungen um bis zu 90 Prozent. Google phased auch Bonuszahlungen für Arbitrary-Read/Write und Remote-Code-Execution-Schwachstellen aus – sie wurden durch die KI-Welle unrentabel.

Google reagiert damit auf ein reales Problem: Das Internet Bug Bounty (IBB) Program musste Neuanmeldungen pausieren, weil die KI-generierten Reports völlig überhand nahmen. Viele Organisationen sind schlicht von der Flut überfordert.

Die Strategie Googles ist klar: Qualität statt Quantität. Das Unternehmen bevorzugt konkrete Beweise über umfangreiche Dokumentationen, verlangt Reproducer und Patches. “Während KI detaillierte Berichte im Handumdrehen erstellt, haben auch unsere internen Tools sich weiterentwickelt”, erklärt Google. Das Unternehmen entwickelt spezielle Chrome-Konfigurationen für Researcher, um arbitrary Read/Write-Bugs zu demonstrieren.

Full-Chain-Chrome-Exploits bleiben mit 250.000 Dollar attraktiv. Für deutsche Sicherheitsexperten bedeutet dies: Die goldenen Zeiten der beliebigen Chrome-Bug-Reports sind vorbei. Wer punkten will, muss differenzieren – zwischen AI-generierten Masse-Reports und echter, arbeitsfähiger Forschung. Googles Ansatz könnte Schule machen und andere Hersteller zu ähnlichen Anpassungen bewegen.

Ähnliche Artikel