Google secara resmi telah merombak program hadiah kerentanannya (vulnerability rewards programs) untuk ekosistem Android dan Chrome. Raksasa teknologi ini kini menawarkan hadiah (bounty) fantastis hingga $1,5 juta (sekitar Rp24 miliar) untuk eksploitasi keamanan tingkat tertinggi.
Di sisi lain, Google mulai mengurangi besaran hadiah untuk kelemahan-kelemahan yang kini dinilai lebih mudah ditemukan berkat bantuan teknologi Kecerdasan Buatan (AI).
Hadiah Tertinggi untuk Kerentanan Paling Kritis
Hadiah utama sebesar $1,5 juta secara eksklusif disiapkan untuk eksploitasi rantai penuh (full-chain) zero-click pada cip keamanan Pixel Titan M2 yang disertai dengan persistensi. Skenario serangan ini dianggap sebagai yang paling menuntut keahlian teknis tingkat dewa dalam program tersebut. Sementara itu, untuk eksploitasi yang sama namun tanpa persistensi, peneliti masih berhak atas hadiah bernilai hingga $750.000.
Di kubu peramban Google Chrome, eksploitasi proses peramban rantai penuh pada perangkat keras dan sistem operasi yang mutakhir kini dihargai hingga $250.000. Google bahkan menambahkan bonus senilai $250.128 bagi peneliti yang berhasil mengeksploitasi alokasi memori yang dilindungi oleh teknologi MiraclePtr.
“Kami menyadari bahwa eksploitasi tertentu yang sangat berdampak tetap sangat sulit dicapai, dan kami sangat menghargai kolaborasi dengan komunitas peneliti untuk menemukan dan mengungkapnya,” ungkap perwakilan Google. “Kami ingin membangun kemitraan ini dengan terus menekankan tingkat hadiah tertinggi di seluruh (ekosistem) Android dan Chrome.”
Dampak AI dan Standar Laporan Baru
Perombakan ini tidak lepas dari pesatnya perkembangan Kecerdasan Buatan generatif. Untuk program Chrome, Google kini mengalihkan fokusnya ke laporan ringkas yang hanya berisi bukti bug dan artefak esensial. Mereka tidak lagi memprioritaskan analisis tertulis yang panjang lebar, mengingat AI kini dapat menuliskannya secara otomatis.
“Meskipun AI telah memudahkan pembuatan laporan tertulis yang panjang dan terperinci, peralatan internal kami juga telah berkembang untuk membantu kami menjelaskan dan menyarankan perbaikan bug secara otomatis,” tambah perusahaan tersebut.
Program Android juga akan mempersempit fokusnya secara khusus pada kerentanan kernel Linux di dalam komponen yang dikelola langsung oleh Google, kecuali jika peneliti dapat mendemonstrasikan eksploitabilitas yang konkret pada perangkat Android.
Rekor Pembayaran Hadiah Keamanan
Restrukturisasi program hadiah kerentanan ini menyusul rekor tahunan luar biasa dari upaya bug bounty Google. Pada tahun 2025 lalu, perusahaan tercatat telah membayar $17,1 juta kepada 747 peneliti keamanan siber—sebuah peningkatan lebih dari 40 persen dibandingkan tahun 2024 dan sekaligus menjadi rekor tertinggi sepanjang masa.
Pencapaian tersebut menjadikan total pembayaran yang telah digelontorkan Google sejak program ini diluncurkan pada tahun 2010 melampaui angka $81,6 juta. Google memproyeksikan bahwa total hadiah agregat yang dibayarkan pada tahun 2026 ini akan terus meningkat, meskipun ada pengurangan besaran nominal untuk beberapa kategori individu tertentu yang kini lebih mudah dipecahkan oleh AI.
Sumber: Google