Più il software diventa complicato, più è probabile che contenga bug o falle nella sicurezza. Google e molte altre aziende lo riconoscono e vogliono offrire agli hacker e ai ricercatori sulla sicurezza un incentivo per individuare e segnalare problemi. È qui che entra in gioco il Vulnerability Rewards Program (VRP) di Google. L’anno scorso, la società ha annunciato di aver pagato un totale di 10 milioni di dollari a oltre 600 ricercatori che hanno segnalato problemi con il software Google in tutto il mondo.
Per quanto riguarda Android e i propri dispositivi Google, la società ha sborsato 3,4 milioni di dollari. Per le vulnerabilità critiche, Google ha aumentato il pagamento massimo fino a 15.000 dollari in questa categoria. L’azienda ha finalmente aggiunto Wear OS al programma, consentendo ai ricercatori di sicurezza di segnalare bug e vulnerabilità nella piattaforma indossabile di Google. Allo stesso tempo, l’azienda ha aumentato i pagamenti per i report di migliore qualità, il che porta i ricercatori a concentrarsi su problemi di maggiore gravità. Questo potrebbe anche essere il motivo per cui Google ha pagato in totale meno nel 2023 rispetto all’anno precedente.
Android non è l’unico grande progetto di Google, però, e come tale, i ricercatori di Google Chrome hanno raccolto una parte del ricavato 2,1 milioni di dollari per 359 report unici. Tra questi c’erano alcuni problemi di vecchia data con la codifica V8 che in precedenza erano sfuggiti alle fessure. Google ha anche lavorato su alcuni miglioramenti di sicurezza tanto necessari per il browser, come l’avvio di funzionalità che impediscono il funzionamento della maggior parte dei bug di sicurezza della memoria.
Il Vulnerability Rewards Program ora comprende anche gli LLM
Un’aggiunta logica al VRP prevista per il 2023 è l’intelligenza artificiale generativa. Google ha dapprima allargato la sfera d’interesse del programma all’IA e successivamente organizzato un evento di hacking dal vivo per prendere di mira modelli linguistici di grandi dimensioni, con i ricercatori che cercavano di inserire suggerimenti per far sì che Bard (ora Gemini) rivelasse segreti che non dovrebbe. Ci sono stati due importanti progetti evidenziati da Google, tra cui “Hacking Google Bard – From Prompt Injection to Data Exfiltration” e “We Hacked Google A.I. per $ 50.000”.
Il resto della somma del premio 2023 è distribuito su altri progetti. Poiché l’intelligenza artificiale e altri strumenti sono in continua evoluzione, Google non vede la fine del VRP. In futuro l’azienda vuole essere ancora più all’avanguardia con i suoi programmi di sicurezza. Dato che ci sono state alcune modifiche al VRP nel 2023, possiamo aspettarci sviluppi simili man mano che ci addentreremo nel 2024.