Google VRP: Đột phá bảo mật AI & kỷ lục chi trả 17 triệu USD

Trong một năm đánh dấu kỷ niệm 15 năm thành lập, Chương trình Tiền Thưởng Lỗ Hổng (VRP) của Google đã thiết lập những kỷ lục chi trả mới, vượt qua mọi cột mốc trước đó. Sự kiện này khẳng định cam kết không ngừng của Google trong việc tăng cường an ninh mạng thông qua sự hợp tác với cộng đồng nghiên cứu bảo mật toàn cầu.

Năm 2025 chứng kiến gã khổng lồ công nghệ trao tổng cộng 17 triệu USD cho các nhà nghiên cứu bảo mật bên ngoài từ khắp nơi trên thế giới. Con số ấn tượng này thể hiện mức tăng trưởng đáng kể 40% so với năm 2024, nhấn mạnh tầm quan trọng ngày càng tăng của việc phát hiện và báo cáo lỗ hổng bảo mật.

Sự Phát Triển Nổi Bật Của Chương trình Tiền Thưởng Lỗ Hổng Google

Kỷ Lục Chi Trả và Vai Trò Cộng Đồng

Hơn 700 hacker có đạo đức từ khắp nơi trên thế giới đã thành công trong việc xác định và công bố các lỗ hổng một cách có trách nhiệm. Điều này chứng minh sự cần thiết liên tục của nghiên cứu bảo mật dựa vào cộng đồng để bảo vệ cơ sở hạ tầng quan trọng, bao gồm các ứng dụng web và hệ thống phức tạp.

Những đóng góp này không chỉ giúp Google củng cố sản phẩm của mình mà còn thúc đẩy toàn bộ hệ sinh thái kỹ thuật số trở nên an toàn hơn. Google đã liên tục nhấn mạnh tầm quan trọng của các nhà nghiên cứu độc lập trong việc phát hiện những điểm yếu tiềm ẩn.

Trọng Tâm Chiến Lược vào Trí Tuệ Nhân Tạo (AI)

Trong năm qua, trọng tâm mô hình hóa mối đe dọa và bảo mật của Google đã được định hình mạnh mẽ bởi sự phát triển vượt bậc của trí tuệ nhân tạo (AI). Để đáp ứng với bề mặt tấn công thay đổi nhanh chóng của các mô hình học máy, Google đã chính thức ra mắt một Chương trình Tiền Thưởng Lỗ Hổng AI chuyên biệt.

Trước đây, các lỗ hổng liên quan đến AI được quản lý dưới khuôn khổ VRP về Lạm dụng (Abuse VRP). Tuy nhiên, với việc thành lập một danh mục độc lập mới, các nhà nghiên cứu hiện có các quy tắc phạm vi chính xác và các cấp độ phần thưởng rõ ràng cho các khai thác lỗ hổng bảo mật cụ thể liên quan đến AI.

Mở Rộng Phạm Vi Chrome VRP

Đội ngũ bảo mật trình duyệt của Google cũng đã thích nghi với những mối đe dọa mới nổi từ AI. Chương trình Tiền Thưởng Lỗ Hổng Chrome (Chrome VRP) hiện có các danh mục phần thưởng cụ thể dành riêng cho các lỗi được phát hiện trong các tính năng AI và Gemini tích hợp của Chrome.

Sự điều chỉnh này cho thấy sự nhạy bén của Google trong việc bảo vệ các công nghệ tiên tiến nhất của mình. Điều này bao gồm cả những kịch bản tấn công phức tạp như lỗ hổng bảo mật liên quan đến prompt injections trong các giao diện AI.

Nâng Cao Sự Tham Gia Cộng Đồng và Sáng Kiến Toàn Cầu

bugSWAT và Chương Trình Thưởng Vá Lỗi OSV-SCALIBR

Sự tham gia tích cực của cộng đồng là động lực chính cho những thành công kỷ lục của Google VRP trong năm 2025. Google đã tổ chức nhiều phiên bản của bugSWAT, một chuỗi sự kiện hack trực tiếp độc quyền, chỉ dành cho khách mời, nhằm vào các bề mặt tấn công có mức độ ưu tiên cao.

Ngoài việc hack trực tiếp các sản phẩm của mình, Google còn triển khai một chương trình thưởng vá lỗi độc đáo cho OSV-SCALIBR. Đây là một công cụ mã nguồn mở được thiết kế để phát hiện các lỗ hổng trong các phần phụ thuộc của phần mềm. Sáng kiến này củng cố chuỗi cung ứng phần mềm và giảm thiểu rủi ro bảo mật.

Các nhà đóng góp bảo mật hiện kiếm được phần thưởng khi xây dựng các plugin OSV-SCALIBR mới, cải thiện việc theo dõi kho chứa (inventory tracking) hoặc phát hiện bí mật (secret detection). Google đã ghi nhận rằng những đóng góp này từ cộng đồng đã giúp công ty phát hiện và khắc phục các bí mật bị rò rỉ nội bộ một cách hiệu quả.

Hội Nghị Bảo Mật ESCAL8 và Mở Rộng Toàn Cầu

Sự tiếp cận toàn cầu của Google cũng được nâng cấp đáng kể với việc ra mắt ESCAL8, một hội nghị bảo mật chuyên biệt được tổ chức tại Mexico City. Sự kiện này có các buổi hội thảo về tư duy lãnh đạo kỹ thuật, các buổi workshop dành cho sinh viên và vòng chung kết HACKCELER8 Capture the Flag (CTF).

ESCAL8 là một nền tảng quan trọng để trao đổi kiến thức, thúc đẩy hợp tác và đào tạo thế hệ chuyên gia an ninh mạng tiếp theo. Sự kiện này thể hiện cam kết của Google trong việc xây dựng một cộng đồng bảo mật mạnh mẽ và đa dạng trên toàn cầu.

Tầm Nhìn Chiến Lược và Hướng Phát Triển Tương Lai của Google VRP

Google có kế hoạch tiếp tục đà phát triển này vào năm 2026 bằng cách mở rộng hợp tác với cộng đồng bảo mật bên ngoài. Đội ngũ Chương trình Tiền Thưởng Lỗ Hổng đang tích cực lên lịch các sự kiện bugSWAT mới trên toàn cầu và chuẩn bị cho lần lặp lại tiếp theo của hội nghị ESCAL8.

Trong bối cảnh các tác nhân đe dọa liên tục thích nghi với các công nghệ mới, các khoản đầu tư lớn vào tiền thưởng lỗi của Google đã nêu bật một chiến lược rõ ràng. Nghiên cứu bảo mật theo hình thức crowdsourced vẫn là một trong những biện pháp phòng thủ mạnh mẽ nhất chống lại các mối đe dọa mạng mới nổi và giúp duy trì an toàn thông tin cho người dùng toàn cầu.

Các nhà nghiên cứu có thể theo dõi thêm thông tin chi tiết về các sáng kiến này tại Google Security Blog.