谷歌推出了一项漏洞奖励计划（VRP），鼓励人们在开源的基于内核的虚拟机（KVM）虚拟机管理程序中发现安全漏洞。该计划旨在测试人员以访客身份登录并尝试在 KVM 主机内核中查找零日漏洞。KVM 是一个开源项目，Google 是该项目的积极贡献者，自 2007 年以来一直包含在主线 Linux 中。它允许 Intel 或 AMD 驱动的设备运行多个虚拟机 （VM），并具有可自定义的硬件仿真以支持多个传统操作系统。谷歌在其 Android 和 Google Cloud 平台中使用它，这就是为什么它在确保其安全方面拥有既得利益的原因。

🤔 **奖励计划旨在鼓励人们在 KVM 中发现安全漏洞**：谷歌推出的漏洞奖励计划（VRP）旨在鼓励安全研究人员在开源的基于内核的虚拟机（KVM）虚拟机管理程序中发现安全漏洞。

🏆 **最高奖金 100 万美元**：该计划被设置为夺旗竞赛（CTF），测试人员以访客身份登录并尝试在 KVM 主机内核中查找零日漏洞。最高奖金可达 100 万美元，吸引了众多安全研究人员的参与。

🚀 **KVM 的重要性**：KVM 是一个开源项目，Google 是该项目的积极贡献者，自 2007 年以来一直包含在主线 Linux 中。它允许 Intel 或 AMD 驱动的设备运行多个虚拟机 （VM），并具有可自定义的硬件仿真以支持多个传统操作系统。谷歌在其 Android 和 Google Cloud 平台中使用它，因此确保其安全至关重要。

⚔️ **竞赛规则**：参与者需要在裸机主机上运行的客户机虚拟机上登录，并尝试进行客户机到主机攻击，以利用主机内核的 KVM 子系统中的零日漏洞。竞赛中不涵盖从 QEMU 仿真器开始的漏洞或依赖于主机到 KVM 技术的漏洞。

💰 **奖励列表**：谷歌发布了详细的奖励列表，包括针对不同类型漏洞的不同奖金。最高奖金 100 万美元将授予发现导致 KVM 主机内核完全控制的零日漏洞的参与者。

⏳ **竞赛时间**：竞赛于 6 月 27 日正式拉开帷幕，参与者需要在指定的时间段内登录到虚拟机并进行攻击。

🥇 **第一个成功提交者将获得奖励**：根据竞赛规则，只有第一个成功提交漏洞利用的参与者才能获得奖励。

⚠️ **竞赛尚未收到任何提交**：截至目前，竞赛尚未收到任何成功的漏洞利用提交。

🤔 **比赛结果**：这项竞赛将有助于发现 KVM 中的潜在安全漏洞，并提高其安全性。最终结果将对 KVM 的安全性和可靠性产生积极影响。

🤝 **合作与安全**：谷歌通过举办这项竞赛，鼓励安全研究人员与他们合作，共同提高 KVM 的安全性。这将有助于确保谷歌产品和服务的安全性，并为用户提供更安全的体验。

为了鼓励人们在开源的基于内核的虚拟机（KVM）虚拟机管理程序中发现安全漏洞，谷歌推出了一项漏洞奖励计划（VRP），最高奖金高达一百万美元。VRP 被设置为夺旗竞赛，测试人员以访客身份登录并尝试在 KVM 主机内核中查找零日漏洞。KVM 是一个开源项目，Google 是该项目的积极贡献者，自 2007 年以来一直包含在主线 Linux 中。它允许 Intel 或 AMD 驱动的设备运行多个虚拟机 （VM），并具有可自定义的硬件仿真以支持多个传统操作系统。谷歌在其 Android 和 Google Cloud 平台中使用它，这就是为什么它在确保其安全方面拥有既得利益的原因。去年10月首次宣布，“kvmCTF”竞赛于6月27日正式拉开帷幕。参与者保留时隙（以 UTC 格式）登录到裸机主机上运行的客户机虚拟机，然后尝试客户机到主机攻击。“攻击的目标必须是利用主机内核的KVM子系统中的零日漏洞，”谷歌在比赛的发布会上说。为此，竞赛中未涵盖从 QEMU 仿真器开始的漏洞或依赖于主机到 KVM 技术的漏洞。完整的规则详细说明了整个过程，从如何下载必要的文件到如何正确证明漏洞利用成功。此奖励列表出现在 6 月 27 日的 Google Security 博客文章中：奖励不会叠加——道德黑客只能获得终点奖励，而不是中间步骤的奖励。此外，根据 kvmCTF Discord 频道上的讨论，只有第一个成功的提交才能获得奖励，但截至发稿时，尚未收到任何提交。