Project Zeroคือทีมวิเคราะห์ความปลอดภัยที่Google จ้างมา เพื่อค้นหา ช่อง โหว่Zero-day ^{[ 1 ]}มีการประกาศเมื่อวันที่ 15 กรกฎาคม 2557 ^{[ 2 ]}

หลังจากค้นพบข้อบกพร่องจำนวนมากในซอฟต์แวร์ที่ผู้ใช้ปลายทางจำนวนมากใช้ในระหว่างการวิจัยปัญหาอื่นๆ เช่น ช่องโหว่ " Heartbleed " ที่ร้ายแรง Google จึงตัดสินใจจัดตั้งทีมงานเต็มเวลาที่ทุ่มเทให้กับการค้นหาช่องโหว่ดังกล่าว ไม่เพียงแต่ในซอฟต์แวร์ของ Google เท่านั้น แต่ยังรวมถึงซอฟต์แวร์ใดๆ ที่ผู้ใช้ใช้ด้วย โครงการใหม่นี้ได้รับการประกาศเมื่อวันที่ 15 กรกฎาคม 2557 บนบล็อกความปลอดภัยของ Google ^{[ 2 ]}เมื่อเปิดตัว หนึ่งในนวัตกรรมหลักที่ Project Zero นำเสนอคือ กำหนดเวลาการเปิดเผยข้อมูลที่เข้มงวด 90 วัน พร้อมด้วยระบบติดตามข้อบกพร่องที่มองเห็นได้ต่อสาธารณะ ซึ่งมีการบันทึกกระบวนการเปิดเผยช่องโหว่ไว้^{[ 3 ]}

แม้ว่าแนวคิดสำหรับ Project Zero จะย้อนกลับไปได้ถึงปี 2010 แต่การก่อตั้งนั้นสอดคล้องกับแนวโน้มที่ใหญ่กว่าของโครงการต่อต้านการสอดแนมของ Google หลังจากการเปิดเผยการสอดแนมทั่วโลกในปี 2013โดยเอ็ดเวิร์ด สโนว์เดนทีมนี้เคยมีคริส อีแวนส์เป็นหัวหน้า ซึ่งก่อนหน้านี้เป็นหัวหน้า ทีมรักษาความปลอดภัย Chrome ของ Google และต่อมาได้เข้าร่วมงานกับTesla Motors [ ^{4 ] สมาชิก}ที่โดดเด่นคนอื่นๆ ได้แก่ นักวิจัยด้านความปลอดภัยเบน ฮอว์กส์ , เอียน เบียร์และทาวิส ออร์แมนดี^{[ 5 ]}ในที่สุดฮอว์กส์ก็กลายเป็นผู้จัดการทีมและลาออกเมื่อวันที่ 4 พฤษภาคม 2022

ทีมงานไม่ได้มุ่งเน้นเพียงแค่การค้นหาข้อบกพร่องและการโจมตีรูปแบบใหม่เท่านั้น แต่ยังมุ่งเน้นการวิจัยและจัดทำเอกสารเผยแพร่ต่อสาธารณะเกี่ยวกับวิธีการใช้ประโยชน์จากข้อบกพร่องดังกล่าวในทางปฏิบัติอีกด้วย เพื่อให้แน่ใจว่าฝ่ายป้องกันมีความเข้าใจการโจมตีอย่างเพียงพอ ทีมงานจึงจัดทำบล็อกวิจัยที่ครอบคลุมพร้อมบทความที่อธิบายการโจมตีแต่ละประเภทโดยละเอียด^{[ 6 ]}

ข้อบกพร่องที่ทีม Project Zero ค้นพบจะถูกรายงานไปยังผู้ผลิต และจะเปิดเผยต่อสาธารณะก็ต่อเมื่อมีการออกแพทช์แล้ว^{[ 2 ]}หรือหากผ่านไป 90 วันโดยไม่มีการออกแพทช์^{[ 7 ]}กำหนดเวลา 90 วันนี้เป็นวิธีการของ Google ในการเปิดเผยข้อมูลอย่างรับผิดชอบโดยให้บริษัทซอฟต์แวร์มีเวลา 90 วันในการแก้ไขปัญหาก่อนที่จะแจ้งให้สาธารณะทราบ เพื่อให้ผู้ใช้สามารถดำเนินการที่จำเป็นเพื่อหลีกเลี่ยงการโจมตีได้^{[ 7 ]}มีบางกรณีที่ผู้จำหน่ายไม่ได้สร้างวิธีแก้ปัญหาสำหรับข้อบกพร่องที่ค้นพบภายใน 90 วัน ก่อนที่ทีมจะเปิดเผยต่อสาธารณะ ซึ่งเป็นการเพิ่มความเสี่ยงให้กับผู้ใช้ที่มีความเสี่ยงอยู่แล้ว^{[ 8 ]}

• เอียน เบียร์^{[ 5 ]}
• แจนน์ ฮอร์น^{[ 9 ]}
• นาตาลี ซิลวาโนวิช^{[ 10 ]}
• เจมส์ ฟอร์ชอว์^{[ 11 ]}

• เบน ฮอว์กส์^{[ 5 ]}
• ทาวิส ออร์แมนดี^{[ 5 ]}
• กัล เบนิอามินี^{[ 12 ]}
• โทมัส ดัลเลียน^{[ 13 ]}
• คริส อีแวนส์^{[ 5 ]}
• จอร์จ ฮอตซ์^{[ 5 ]}
• แมตต์ เทต^{[ 14 ]}
• สตีเวน วิตติโท^{[ 11 ]}
• เน็ด วิลเลียมสัน^{[ 15 ]}
• เฟลิกซ์ วิลเฮล์ม^{[ 16 ]}
• แมดดี้ สโตน^{[ 17 ]}

• รายงาน Project Zero ฉบับแรกๆ ที่ดึงดูดความสนใจเกี่ยวข้องกับข้อบกพร่องที่ทำให้แฮกเกอร์สามารถควบคุมซอฟต์แวร์ที่ทำงานบนเบราว์เซอร์ Safariได้^{[ 18 ]}ด้วยความพยายามดังกล่าว ทีมงาน โดยเฉพาะ Beer ได้รับการกล่าวถึงในบันทึกขอบคุณสั้นๆ ของ Apple
• เมื่อวันที่ 30 กันยายน 2014 Google ตรวจพบช่องโหว่ด้านความปลอดภัยในระบบการเรียกใช้ "NtApphelpCacheControl" ของWindows 8.1 ซึ่งอนุญาตให้ผู้ใช้ทั่วไปเข้าถึงสิทธิ์การดูแลระบบได้ ^{[ 19 ]} Microsoftได้รับแจ้งปัญหาทันที แต่ไม่ได้แก้ไขปัญหาภายใน 90 วัน ซึ่งหมายความว่าข้อมูลเกี่ยวกับข้อบกพร่องดังกล่าวถูกเปิดเผยต่อสาธารณะเมื่อวันที่ 29 ธันวาคม 2014 ^{[ 7 ]}การเปิดเผยข้อบกพร่องต่อสาธารณะทำให้ Microsoft ตอบกลับว่าพวกเขากำลังดำเนินการแก้ไขปัญหาอยู่^{[ 7 ]}
• เมื่อวันที่ 9 มีนาคม 2558 บล็อกของ Google Project Zero ได้โพสต์บทความรับเชิญที่เปิดเผยถึงช่องโหว่ฮาร์ดแวร์ที่ทราบกันดีอยู่แล้วใน DRAM ที่ใช้งานทั่วไปที่เรียกว่าRow Hammerซึ่งสามารถใช้ประโยชน์เพื่อยกระดับสิทธิ์ให้กับผู้ใช้ในพื้นที่ได้^{[ 20 ]}บทความนี้ก่อให้เกิดการวิจัยติดตามผลจำนวนมากทั้งในแวดวงวิชาการและฮาร์ดแวร์
• เมื่อวันที่ 19 กุมภาพันธ์ 2017 Google ค้นพบข้อบกพร่องในพร็อกซีแบบย้อนกลับของCloudflare ^{[ 21 ]}ซึ่งทำให้เซิร์ฟเวอร์ขอบทำงานเกินขอบเขตของบัฟเฟอร์และส่งคืนหน่วยความจำที่มีข้อมูลส่วนตัว เช่น คุกกี้ HTTP โทเค็นการตรวจสอบสิทธิ์ เนื้อหา HTTP POST และข้อมูลที่ละเอียดอ่อนอื่นๆ ข้อมูลบางส่วนนี้ถูกแคชโดยเครื่องมือค้นหา^{[ 22 ]}สมาชิกของทีม Project Zero เรียกข้อบกพร่องนี้ว่าCloudbleed ^{[ 21 ]}
• เมื่อวันที่ 27 มีนาคม 2017 Tavis Ormandy จาก Project Zero ค้นพบช่องโหว่ในLastPassซึ่ง เป็นโปรแกรมจัดการรหัสผ่านยอดนิยม ^{[ 23 ]}เมื่อวันที่ 31 มีนาคม 2017 LastPass ประกาศว่าได้แก้ไขปัญหาแล้ว^{[ 24 ]}
• โครงการ Zero มีส่วนเกี่ยวข้องในการค้นพบ ช่องโหว่ MeltdownและSpectreที่ส่งผลกระทบต่อCPU รุ่นใหม่จำนวนมาก ซึ่งถูกค้นพบในช่วงกลางปี ​​2017 และเปิดเผยในต้นเดือนมกราคม 2018 ^{[ 25 ]}ปัญหาดังกล่าวถูกค้นพบโดย Jann Horn โดยอิสระจากนักวิจัยคนอื่นๆ ที่รายงานช่องโหว่ด้านความปลอดภัย และมีกำหนดจะเผยแพร่ในวันที่ 9 มกราคม 2018 ก่อนที่จะเลื่อนวันให้เร็วขึ้นเนื่องจากการคาดการณ์ที่เพิ่มมากขึ้น^{[ 9 ]}
• เมื่อวันที่ 1 กุมภาพันธ์ 2019 Project Zero ได้รายงานต่อAppleว่าพวกเขาตรวจพบชุดช่องโหว่ iPhone ที่แยกจากกันและสมบูรณ์ 5 ชุด ซึ่งส่งผลกระทบต่อiOS 10 ไปจนถึง iOS 12ทุกเวอร์ชัน โดยไม่ได้กำหนดเป้าหมายผู้ใช้เฉพาะเจาะจง แต่มีความสามารถในการแพร่เชื้อไปยังผู้ใช้ทุกคนที่เข้าชมเว็บไซต์ที่ติดเชื้อ เว็บไซต์ที่ถูกแฮ็กหลายแห่งถูกนำมาใช้ในการโจมตีแบบ ไม่เลือกเป้าหมาย ซึ่ง Project Zero ประมาณการว่ามีผู้เข้าชมหลายพันคนต่อสัปดาห์ Project Zero รู้สึกว่าการโจมตีดังกล่าวบ่งชี้ว่ามีกลุ่มที่พยายามอย่างต่อเนื่องในการแฮ็กผู้ใช้ iPhone ในชุมชนบางแห่งเป็นระยะเวลาอย่างน้อยสองปี^{[ 26 ]} Apple ได้แก้ไขช่องโหว่ใน iOS 12.1.4 เวอร์ชันที่ออกเมื่อวันที่ 7 กุมภาพันธ์ 2019 ^{[ 27 ]}และกล่าวว่าการแก้ไขกำลังดำเนินการอยู่แล้วเมื่อ Project Zero รายงาน^{[ 28 ]}
• เมื่อวันที่ 18 เมษายน 2562 Project Zero ค้นพบข้อบกพร่องในApple iMessageซึ่งข้อความที่มีรูปแบบไม่ถูกต้องบางอย่างอาจทำให้Springboard "...ล่มและเริ่มต้นใหม่ซ้ำ ๆ ทำให้ UI ไม่แสดงผลและโทรศัพท์หยุดตอบสนองต่ออินพุต" ^{[ 29 ]}ซึ่งจะ ทำให้ UI ของ iPhone ล่มอย่างสมบูรณ์ จนใช้งานไม่ได้ ข้อบกพร่องนี้จะยังคงอยู่แม้หลังจากรีเซ็ตเครื่องแล้วข้อบกพร่องนี้ยังส่งผลกระทบต่อ iMessage บนMacด้วยผลลัพธ์ที่แตกต่างกัน Apple ได้แก้ไขข้อบกพร่องภายใน 90 วันก่อนที่ Project Zero จะเผยแพร่
• ในเดือนธันวาคม 2021 ทีมงานได้เผยแพร่รายละเอียดทางเทคนิคของ การโจมตี FORCEDENTRYโดยอิงจากการทำงานร่วมกับ กลุ่ม วิศวกรรมความปลอดภัยและสถาปัตยกรรม (SEAR) ของ Apple ^{[ 30 ]}

• การป้องกันภัยไซเบอร์เชิงรุก

• เว็บไซต์อย่างเป็นทางการ