241/69 (IT) ประจำวันอังคารที่ 5 พฤษภาคม 2569
Google ประกาศปรับปรุงโครงการมอบเงินรางวัลสำหรับผู้ค้นพบช่องโหว่ (Vulnerability Reward Programs – VRP) ครั้งใหญ่ ทั้งในส่วนของ Android และ Chrome เพื่อตอบรับกับการเปลี่ยนแปลงในยุคที่ปัญญาประดิษฐ์ (AI) เข้ามามีบทบาทสำคัญในการล่าบั๊ก โดยรายงานระบุว่าเครื่องมือ AI ขั้นสูงในปัจจุบัน เช่น GPT 5.4 Cyber สามารถวิเคราะห์โค้ดและช่วยสร้างโมเดลการโจมตีได้อย่างรวดเร็ว จนส่งผลให้มีปริมาณการส่งรายงานช่องโหว่เพิ่มขึ้นมหาศาล แต่ส่วนใหญ่มักขาดคุณภาพหรือใช้งานจริงไม่ได้ Google จึงตัดสินใจเปลี่ยนเกณฑ์การให้รางวัล โดยหันไปเน้น “คุณภาพ” และ “ผลกระทบต่อผู้ใช้งาน” เป็นหลัก แทนที่การเน้นปริมาณเพียงอย่างเดียว
สำหรับการเปลี่ยนแปลงที่น่าสนใจที่สุดคือการเพิ่มเงินรางวัลให้กับ Android และอุปกรณ์ของ Google โดยรางวัลสูงสุดสำหรับการเจาะระบบชิปความปลอดภัย Titan M ในลักษณะ Zero-click หรือการโจมตีโดยที่เหยื่อไม่ต้องคลิกอะไรเลย พุ่งสูงขึ้นจาก 1 ล้านดอลลาร์ เป็น 1.5 ล้านดอลลาร์ เนื่องจากเป็นช่องโหว่ที่ AI ตรวจพบได้ยากและมีผลกระทบต่อความปลอดภัยสูงมาก ในทางกลับกัน Google ได้ปรับลดเงินรางวัลมาตรฐานของ Chrome ลง โดยให้เหตุผลว่า AI ช่วยให้การเขียนรายงานที่ดูละเอียดและซับซ้อนทำได้ง่ายขึ้นมาก ปัจจุบันบริษัทจึงต้องการรายงานที่กระชับ มีหลักฐานการเจาะระบบที่ทำซ้ำได้จริง (Reproducible) และหากมีการเสนอแนวทางแก้ไข (Suggested Fix) มาด้วยก็จะได้รับพิจารณาเป็นพิเศษ
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์วิเคราะห์ว่าความเคลื่อนไหวนี้ไม่ใช่การลดต้นทุน เนื่องจาก Google คาดการณ์ว่ายอดจ่ายเงินรางวัลรวมในปี 2026 จะยังคงสูงขึ้นอย่างต่อเนื่องหลังจากทำสถิติสูงสุดกว่า 17.1 ล้านดอลลาร์ในปี 2025 แต่เป็นการปรับตัวเพื่อรับมือกับการรายงานที่สร้างโดย AI ซึ่งกำลังเป็นปัญหาใหญ่ของอุตสาหกรรม จนทำให้โครงการระดับโลกอย่าง Internet Bug Bounty (IBB) ต้องประกาศระงับการรับรายงานชั่วคราวมาแล้ว กลยุทธ์ใหม่ของ Google จึงถือเป็นหมุดหมายสำคัญในการผลักดันให้นักวิจัยหันไปใช้ศักยภาพของมนุษย์ในการค้นหาช่องโหว่เชิงลึกที่ซับซ้อนเกินกว่าที่ AI จะเข้าถึงได้ในปัจจุบัน