Google maakte bekend dat het in 2025 in totaal 17,1 miljoen dollar heeft uitbetaald via zijn bug bounty programma’s. Dit brengt het totaalbedrag dat in de afgelopen 15 jaar is uitgekeerd op 81,6 miljoen dollar. De uitbetalingen in 2025 vertegenwoordigen een stijging van 40 procent ten opzichte van het voorgaande jaar, toen Google 12 miljoen dollar aan beveiligingsonderzoekers uitkeerde.

Meer dan 700 onderzoekers werden in 2025 beloond via de verschillende Vulnerability Reward Programs (VRP) van Google. Onder hen ontvingen onderzoekers die volledige sandbox escape-aanvallen in Chrome konden demonstreren beloningen tot 250.000 dollar. Voor kwetsbaarheden in de Chrome-browser keerde Google ruim 3,7 miljoen dollar uit aan meer dan 100 onderzoekers. De best verdienende onderzoeker ontving 811.000 dollar aan bug bounty beloningen. Volgens Google hebben deze inspanningen bijgedragen aan het versterken van de sandboxbeveiliging van de V8-engine en verbeteringen in geheugenveiligheidsmechanismen.

Daarnaast was er een groeiende interesse in de cloudproducten van Google, waar meer dan 3,5 miljoen dollar aan beloningen werd uitgekeerd. In 2025 werden 1.774 beveiligingsrapporten verwerkt via het Cloud VRP, dat in oktober 2024 werd gelanceerd en vorig jaar zijn eerste volledige operationele jaar kende. Google meldt dat de bijdragen van onderzoekers hebben geleid tot de ontdekking en oplossing van kritieke kwetsbaarheden, wat heeft geresulteerd in belangrijke architecturale aanpassingen binnen verschillende Google Cloud-producten.

Verder keerde Google meer dan 2,9 miljoen dollar uit aan onderzoekers die kwetsbaarheden rapporteerden via het Android en Google Devices security reward programma. Er was een toename in kritieke en hoog-risico bugs, mede door investeringen in platformversterking zoals de overgang van Android naar geheugenveilige programmeertalen en hardwarematige mitigaties tegen geheugenbeschadiging. Onderzoekers werden beloond voor het vinden van zwaktes in Android’s on-device Gemini implementaties en een kritieke firmware-kwetsbaarheid die meerdere verdedigingslagen omzeilde.

Via het AI VRP programma werd ruim 890.000 dollar uitgekeerd, via het Abuse VRP programma 482.000 dollar en via het OSS VRP programma meer dan 327.000 dollar. Google benadrukt dat het doel is om voorop te blijven lopen bij opkomende bedreigingen, zich aan te passen aan veranderende technologieën en de beveiliging van zijn producten en diensten te versterken, wat alleen mogelijk is door samenwerking met de externe onderzoeksgemeenschap.