Google ha rivisto il programma di bug bounty: premia fino a 1,5 milioni chi trova vulnerabilità critiche nei Pixel, ma taglia i compensi per le segnalazioni AI considerate routine.

Google offre 1,5 milioni per chi hacka il chip Titan M2 dei Pixel

Se possiedi un Pixel e riesci a trovare il modo di violare il suo chip di sicurezza Titan M2 senza che l'utente faccia nulla (un attacco zero-click), Google è disposto a pagarti fino a 1,5 milioni di dollari. È il segnale più evidente di una rivisitazione strategica del programma di bug bounty annunciata da Google: aumentare drasticamente le ricompense per le vulnerabilità davvero critiche, mentre riduce i compensi per le segnalazioni di routine, soprattutto quelle generate da intelligenza artificiale.

Chi

Google gestisce i programmi di vulnerabilità reward per Android e Chrome, tra i più generosi dell'industria tech. Questi programmi invitano ricercatori di sicurezza indipendenti e professionisti a segnalare bug e vulnerabilità, offrendo compensi economici in cambio della divulgazione responsabile anziché della vendita sul mercato nero.

Cosa è successo

Google ha aggiornato ufficialmente i suoi Android e Chrome Vulnerability Reward Programs (VRP). Le modifiche sono già in vigore.

Per Android, il cambiamento principale riguarda il Titan M2, il chip di sicurezza integrato nei Pixel che protegge dati sensibili come le credenziali di accesso e le chiavi di crittografia. Google ha innalzato la ricompensa da 1 milione a 1,5 milioni di dollari per chi riesce a eseguire un attacco zero-click persistente contro questo chip. Una versione non persistente (che cioè non sopravvive a un riavvio) vale 750.000 dollari.

Per Chrome, la situazione è opposta. Google sta riducendo i compensi per le vulnerabilità più comuni e ha eliminato bonus speciali per certe categorie di exploit. In particolare, i bonus per renderer RCE (Remote Code Execution) e arbitrary read/write sono stati cancellati perché, secondo Google, questi tipi di vulnerabilità sono diventati "quasi routine" grazie all'uso diffuso di strumenti AI per la ricerca di bug. La ricompensa massima per full-chain exploit su Chrome rimane 250.000 dollari, e il celebre bonus MiraclePtr da 250.128 dollari non è stato toccato.

Google spiega che la ragione dietro questi tagli è il crescente numero di segnalazioni generate automaticamente da modelli di intelligenza artificiale. L'azienda preferisce ora ricevere meno report, ma di qualità superiore: segnalazioni concise, riproducibili e con chiara dimostrazione dell'impatto.

Perché è importante

Questa mossa rivela come le grandi aziende tech stiano ricalibrando i propri incentivi di fronte a un cambio nel panorama della ricerca di sicurezza.

Per i ricercatori: il messaggio è chiaro. Se usi strumenti AI per trovare vulnerabilità comuni, Google non ti pagherà più come prima. Invece, chi dedica tempo e competenza a scoprire bug complessi e critici—come quelli che potrebbero compromettere il chip di sicurezza di un telefono—può aspettarsi compensi record. È un incentivo a specializzarsi su problemi difficili piuttosto che automatizzare la ricerca.

Per gli utenti Pixel: l'aumento dei premi per il Titan M2 segnala che Google considera questo chip una priorità di sicurezza. Il Titan M2 è il custode delle credenziali biometriche, delle password salvate e delle chiavi di crittografia end-to-end. Una sua compromissione potrebbe esporre dati molto sensibili. Offrire 1,5 milioni di dollari è un modo per attrarre i migliori ricercatori di sicurezza al mondo su questo specifico bersaglio.

Per l'industria: il taglio dei compensi per le vulnerabilità AI-generate è una risposta al problema crescente dello spam di segnalazioni di bassa qualità. Apple ha affrontato una sfida simile, e anche Microsoft ha dovuto gestire un'ondata di report automatici. Google sta essenzialmente dicendo: "Vogliamo qualità, non quantità".

Un precedente rilevante: Apple ha lanciato un programma simile per il suo Private Cloud Compute, offrendo fino a 1 milione di dollari per chi riesce a violare i server che gestiscono Apple Intelligence. Anche Apple, come Google, sta proteggendo l'infrastruttura critica dietro i servizi AI.

Cosa aspettarsi

Nei prossimi mesi, osserva questi indicatori:

  • Numero e qualità delle segnalazioni: Google pubblicherà dati sul numero di report ricevuti e su quanti provengono da AI. Se il numero cala ma la qualità sale, la strategia avrà funzionato.

  • Scoperte sul Titan M2: il bounty da 1,5 milioni attirerà ricercatori top. Se emergono vulnerabilità critiche, Google dovrà rilasciare patch rapidamente. Se nessuno le trova, il chip avrà dimostrato di essere robusto.

  • Reazioni di altri vendor: Microsoft, Apple e Amazon monitoreranno questa mossa. È probabile che anche loro ricalibreranno i propri programmi di bug bounty, riducendo i compensi per le vulnerabilità comuni e aumentandoli per i bersagli critici.

  • Evoluzione degli strumenti AI: i creatori di tool per la ricerca di vulnerabilità dovranno adattarsi. Se i bug comuni non pagano più, gli strumenti AI dovranno diventare più sofisticati per trovare problemi complessi.

  • Roadmap di Google: non è ancora chiaro se Google estenderà questi cambiamenti ad altri chip di sicurezza (come il Titan M1 nei Pixel più vecchi) o se rimarrà focalizzato sul Titan M2. La comunicazione ufficiale sarà importante per capire la strategia a lungo termine.

La domanda tecnica aperta rimane: il Titan M2 è davvero così difficile da violare da giustificare 1,5 milioni, o Google sta semplicemente alzando la posta per attirare attenzione? Solo il tempo—e i ricercatori che tenteranno—lo dirà.

📰 Fonti

  1. Android AuthorityGoogle will pay you $1.5M if you can hack Pixel’s Titan M2 chip
  2. androidauthority.comGoogle will pay you $1.5M if you can hack Pixel's Titan M2 chip - Android Authority
  3. zdnet.comApple will pay you up to $1 million if you can hack into Apple Intelligence servers
  4. pcgamer.comAvowed will be available on Battle.net, which means you can buy it for about 1.4M gold in WoW if you want to
  5. gamespot.comThis will open up the passive skill tree, allowing you to pick any passive skills you've already unlocked and respeccing them--essentially recovering the skill point you spent for it.
  6. gamespot.comMonster Hunter Wilds - How To Change Your Character's Appearance<\/h1> Find out how you can alter your character's looks in Monster Hunter Wilds.