Googles neues Bounty-System spiegelt eine Verschiebung der Prioritäten wider. Während Zero-Click-Exploits des Pixel Titan M2 mit Persistenz bis zu 1,5 Millionen Dollar einbringen, erhalten die gleichen Angriffe ohne Persistenz immerhin noch 750.000 Dollar. Im Chrome-Bereich wurden die Prämien ebenfalls angehoben: Vollständige Browser-Process-Exploits auf aktuellen Betriebssystemen kommen nun auf bis zu 250.000 Dollar, zusätzlich winkt ein Bonus von 250.128 Dollar für Exploits, die MiraclePtr-geschützte Speicherbereiche kompromittieren.
Die Umstrukturierung folgt auf ein Rekordjahr: 2025 zahlte Google insgesamt 17,1 Millionen Dollar an 747 Sicherheitsforscher aus – ein Anstieg von über 40 Prozent gegenüber 2024. Seit dem Start des Programms 2010 haben die Gesamtauszahlungen die Marke von 81,6 Millionen Dollar überschritten.
Doch Google passt gleichzeitig die Anforderungen an. Das Unternehmen verlangt künftig prägnante, fokussierte Berichte statt umfangreicher schriftlicher Analysen. Der Grund ist pragmatisch: Künstliche Intelligenz kann lange Dokumentationen mittlerweile automatisch erstellen. Google nutzt intern bereits KI-Tools, um Bugs automatisch zu erklären und Fixes vorzuschlagen. Für Forscher bedeutet dies einen Paradigmenwechsel: Quantität wird weniger belohnt als technische Tiefe.
Bei Android konzentriert sich Google nun auf Linux-Kernel-Anfälligkeiten in eigenem Codebestand – es sei denn, Forscher demonstrieren konkrete Exploitierbarkeit auf echten Android-Geräten. Diese Fokussierung zielt darauf ab, die wertvollsten Schwachstellen herauszufiltern und Ressourcen effizienter zu nutzen.
Dass die gestiegenen Prämien trotz einiger Kürzungen insgesamt zu höheren Gesamtauszahlungen führen, unterstreicht Googles Engagement. Das Unternehmen signalisiert damit: Die schwierigsten Probleme brauchen die besten Köpfe – und diese verdienen Top-Löhne. Für die globale Sicherheitslandschaft könnte dies bedeuten, dass immer mehr Exploits gefunden werden, bevor sie böswillig genutzt werden.