Quand le Vulnerability Reward Program a été lancé en 2010, l’idée était simple et un peu radicale. Plutôt que d’attendre qu’une faille soit vendue sur un forum clandestin ou exploitée en silence, autant rémunérer ceux qui la trouvent pour qu’ils la signalent. Le modèle a depuis été copié par à peu près toutes les grandes entreprises tech. Google en est à 81,6 millions de dollars cumulés versés depuis le premier jour.

L’IA reçoit sa propre ligne budgétaire L’AI VRP, qui était jusqu’ici rattaché à l’Abuse VRP, fonctionne désormais avec un programme autonome, un périmètre documenté, des scénarios d’éligibilité précis et des barèmes de récompenses dédiés aux modèles de machine learning. Un chercheur qui repère une faille dans Gemini sait exactement quoi soumettre, dans quel format et ce qu’il peut espérer recevoir.