Google花1700萬美元買漏洞，白帽黑客這碗飯突然變香了

2025年，Google給找漏洞的人發了1700萬美元。這個數字比前一年暴漲40%，創下15年漏洞獎勵計劃（VRP）的歷史新高。

700多名白帽黑客從這筆錢里分到了蛋糕。他們的工作很簡單：在壞人之前找到系統的裂縫，然后告訴Google。聽起來像數字時代的賞金獵人——只不過獵物是代碼里的邏輯錯誤，賞金是實打實的美元。

AI成了新靶場，Google專門開了一條賽道

這筆創紀錄的支出背后，有一個明顯的結構變化。Google第一次把AI漏洞從"其他"分類里拎出來，成立了獨立的AI漏洞獎勵計劃。

以前這類漏洞歸在Abuse VRP（濫用漏洞獎勵計劃）下面，像雜物間里的一箱工具。現在它有了自己的房間，墻上貼著明確的價目表：什么類型的AI漏洞值多少錢，寫得清清楚楚。

Chrome瀏覽器團隊跟進得很快。如果你在Chrome內置的AI功能或Gemini（谷歌的人工智能助手）里挖出漏洞，現在能走專門的獎勵通道。這不是小修小補——Google把AI相關的攻擊面當成了優先級最高的靶子之一。

為什么突然這么緊張？機器學習模型的攻擊面變化太快。去年還在討論提示詞注入，今年可能就變成了模型權重竊取。Google的應對策略很直接：把規則寫明白，讓全球黑客來試。

bugSWAT：把黑客關進房間，限時找漏洞

線上提交漏洞是一回事，面對面硬碰硬是另一回事。Google的bugSWAT屬于后者——邀請制、線下、限時、高獎金。

2025年辦了好幾場，主題圍繞"高優先級攻擊面"。受邀黑客在受控環境里對著真實系統下手，Google的安全工程師在旁邊圍觀記錄。這種模式的效率很高：一個周末找到的漏洞，可能比線上三個月還多。

更隱蔽的動作是OSV-SCALIBR的補丁獎勵計劃。這是個開源工具，用來掃描軟件依賴里的漏洞。Google現在給寫插件的人發錢——只要你開發的插件能改進庫存追蹤或密鑰檢測。

效果已經顯現。社區提交的插件幫Google抓到了內部泄露的密鑰，在被人惡意利用之前。

ESCAL8：把安全會議開到墨西哥城

全球布點的野心在ESCAL8上暴露得很明顯。這是Google新辦的安全會議，首站選在墨西哥城。

內容很雜：技術領導力研討會、學生工作坊、HACKCELER8奪旗賽決賽。目標也很清晰——在北美和歐洲之外，培養下一代安全研究者。2026年的ESCAL8已經在籌備中，bugSWAT的新場次也在排期。

1700萬美元買的是什么？不是漏洞本身，是注意力。全球頂尖黑客的注意力，被Google用明確的規則和豐厚的獎金牢牢鎖定。

當攻擊者也在研究AI系統的新弱點時，防守方的人海戰術反而成了優勢。Google的賬本很清楚：發現一個關鍵漏洞的賞金，可能不到一次數據泄露罰款的零頭。

2026年的預算還沒公布，但VRP團隊已經在全球約人見面。下一個記錄會被打破嗎？那些靠找漏洞付房租的黑客，大概比任何人都想知道答案。