Beveiligingsonderzoekers verdienden vorig jaar 17 miljoen dollar aan Google-bugs

Google deelde in 2025 ruim 17 miljoen dollar aan bugbounty's uit aan beveiligingsonderzoekers. Dat is het met afstand het hoogste bedrag dat het ooit afdroeg. Ook steeg het aantal beveiligingsonderzoekers dat bugbounty's ontving. Dat waren er 747.

Google schrijft dat in een samenvatting van zijn zogenaamde Vulnerability Rewards Program (VRP). Dat is het overkoepelende programma waarbij Google beloningen uitdeelt aan externe beveiligingsonderzoekers die softwarebugs ontdekken in verschillende Google-producten en -platforms. Het VRP bestaat weer uit verschillende subcategorieën, zoals een apart platform voor Android, Chrome en Google Cloud.

Vorig jaar begon Google ook een apart bugbountyprogramma voor zijn AI-producten. Sinds oktober deelde het bedrijf daar 350.000 dollar aan bugbounty's voor uit.

In totaal beloonde Google 747 onderzoekers met in totaal 17,1 miljoen dollar, omgerekend ongeveer 15 miljoen euro. Dat zijn beide records; nooit eerder deden zoveel onderzoekers mee en nooit eerder deelde Google zoveel beloningen uit. In 2022, een topjaar, deelde het bedrijf nog 12 miljoen dollar uit.

De hoogste bounty's gingen naar onderzoekers die bugs in Chrome vonden. Een bug was een out-of-bound-read, de tweede een bug in ipcz. Die maakten het allebei mogelijk om uit de sandbox te ontsnappen. Google keerde voor beide bugs 250.000 dollar uit, de hoogste bedragen die er in 2025 werden uitgereikt. In totaal deelde het bedrijf 3,7 miljoen dollar uit aan beloningen in Chrome.

Voor bugs in Android en andere hardware kregen onderzoekers in totaal 2,9 miljoen dollar. Bugs in Google Cloud leverden 143 onderzoekers bijna 3,6 miljoen dollar op.