若攻破Pixel手机Titan M2安全芯片，最高可拿走谷歌150万美元奖金

IT之家 5 月 6 日消息，谷歌正在下调发现针对安卓系统和 Chrome 浏览器普通漏洞的奖励金额，但向任何能实现无需点击、永久破解谷歌 Pixel 手机 Titan M2 安全芯片的人员开出高达 150 万美元（IT之家注：现汇率约合 1026 万元人民币）的漏洞赏金。

谷歌对安卓与 Chrome 漏洞奖励计划（VRP）进行了新一轮更新，宣布调整奖金发放规则，减少对低影响漏洞报告的奖励，转而侧重奖励可能对用户造成严重危害的复杂高危漏洞。此次调整已正式生效。

此次调整的核心集中在安卓平台。对于搭载 Titan M 安全芯片的 Pixel 设备，若能实现可持久驻留的高级安卓漏洞利用（含零点击攻击），谷歌现行最高赏金提升至 150 万美元（现汇率约合 1026 万元人民币，此前为 100 万美元）；非持久驻留类型的同类漏洞赏金为 75 万美元（现汇率约合 513 万元人民币）。

与此同时，Chrome 浏览器的奖励政策则反向调整。谷歌表示，由于人工智能生成漏洞报告愈发普遍，将下调部分 Chrome 漏洞奖励金额，并取消多项额外奖励类别。谷歌仍鼓励安全研究人员提交漏洞报告，但如今更优先看重简洁清晰、可复现、危害影响证据明确的研究成果，而非单纯追求提交数量。

浏览器渲染器远程代码执行（RCE）、任意读写漏洞的专项额外奖励已被取消。谷歌称，人工智能已让这类漏洞的挖掘变得“近乎常规化”。取而代之的是，谷歌团队将推出 Chrome 专用测试版本，方便研究人员演示高权限进程下的任意读写漏洞利用方式。

针对最新操作系统及硬件环境下的完整链路浏览器进程漏洞利用，谷歌现行最高赏金为 25 万美元；知名的 250128 美元 MiraclePtr 专项奖励政策仍予以保留。尽管谷歌表示 2026 年漏洞奖励总预算将会增加，但其余多数漏洞的奖金标准均有所下调。

过去一年间，谷歌持续扩大聚焦人工智能领域的安全布局。2025 年，谷歌专为 Gemini 大模型、谷歌搜索、Workspace 人工智能工具等产品推出了人工智能专属漏洞赏金计划。研究人员若发现提示注入攻击、非授权操作、数据泄露等严重 AI 相关高危漏洞，最高可获得 3 万美元奖励。

谷歌表示，全新的漏洞奖励计划架构顺应了漏洞研究行业的发展变化：AI 工具大幅降低了普通漏洞的挖掘门槛，因此谷歌如今更愿意奖励需要深厚专业技术功底、具备真实落地安全风险的漏洞发现成果。同时，谷歌还鼓励研究人员在提交漏洞报告时，不仅提供漏洞存在的证明，一并附上漏洞修复方案。