703名白帽子，2022年共提交2900个有效漏洞报告，斩获超8000万元奖金，平均每人可领取约18万元。

安全内参3月2日消息，过去一年，谷歌通过漏洞奖励计划支付了公司史上最高的总奖金金额，并对单个关键漏洞利用链奖励60.5万美元，打破单笔奖金纪录。2022年全年，安全研究人员发现和上报的谷歌产品漏洞超过2900个，搜索巨头总计为此向703位研究人员支付了超1200万美元（约合人民币8200万元）。图：2022年谷歌支付的漏洞奖金总额跃升至1200万美元

Android 单个漏洞奖金创纪录

谷歌发布了2022年漏洞奖励计划（VRP）的相关统计数据，概括了安全研究社区为提高谷歌产品安全性做出的贡献。其中最大一笔奖金来自gzobqq提交的报告，详细介绍了一组Android漏洞利用链（CVE-2022-20427、CVE-2022-20428、CVE-2022-20454、CVE-2022-20459、CVE-2022-20460），总额达60.5万美元（约合人民币410万元）。2021年，gzobqq还发现并上报了Android中的另一条关键漏洞利用链，拿下15.7万美元，创造了当年的Android漏洞奖励计划的奖金纪录。一般来说，通过谷歌漏洞奖金计划提交的Android 漏洞奖金不会超过1万美元。但对于漏洞利用链，谷歌设定的奖金上限则高达100万美元。2022年，谷歌为700余个Android漏洞支付了480万美元奖金。做出突出贡献的各主要漏洞研究人员包括：

• 安全厂商Bugsmirror的Aman Pandey，超过200个bug；
• OPPO安珀安全实验室的韩子诺，—150个bug；
• 林禹成，近100个bug。

去年，谷歌还组织了仅限受邀人士参加的Android芯片组安全奖励计划（ACSRP），共发现700份安全报告并发放48.6万美元奖金。这是一项由谷歌及Android芯片组制造商合作设立的内部奖励计划。

Chrome与开源软件漏洞赏金

2022年，谷歌还为Chrome浏览器中的363个漏洞和ChromeOS中的110个安全缺陷支付了总计400万美元。谷歌宣布，今年Chrome 漏洞奖励计划也将开始试运行，希望为浏览器和ChromeOS的安全问题上报注入更多活力。2022年8月推出的开源产品漏洞奖励计划，迄今已向100多位研究人员发放了超11万美元奖金。除了根据发现和上报的漏洞支付奖金之外，谷歌还向170多名研究人员提供了超25万美元的赠款。尽管没有发现任何漏洞，但谷歌仍感谢这些个人对于谷歌产品和服务的持续关注和研究。谷歌还成为了NahamCon和BountyCon等安全会议的赞助商。