Googleは2018年、「Android」と「Chrome」の脆弱性を発見したセキュリティ研究者たちに170万ドル（約1億9000万円）を支払った。他の製品の脆弱性を見つけた研究者らへの支払いも、同じ金額にのぼった。

Googleは2010年、アプリやソフトウェアに存在するバグの発見と報告をセキュリティ研究コミュニティーに協力してもらおうと、「Vulnerability Reward Program」（VRP）を立ち上げた。その目的は、研究者らに問題を報告するよう促し、問題が悪用される前に修正できるようにすることだ。報告者への報奨金は100～20万ドル（約1万～約2200万円）で、発見された脆弱性の危険度に基づいて決まる。

Googleは、2018年は総額340万ドル（約3億7500万円）を支払い、うち170万ドル（約1億9000万円）がAndroidとChromeの脆弱性の発見に対するものだったと述べた。2010年の設立以降、同プログラムではこれまでに1500万ドル（約16億5000万円）を超える報奨金を支払ってきたという。

Googleは、2018年に発見を報告した研究者の例を紹介している。

たとえば、ウルグアイの19歳の研究者であるEzequiel Pereira氏は、「Google Cloud Platform」（GCP）のコンソールに遠隔地からのアクセスを可能にする「Remote Code Execution」のバグを発見した。