Microsoft käynnisti viime viikolla uuden tekoälyyn perustuvien Bing-tuotteiden ja -sovellusten haavoittuvuuksien löytämisestä eri puolilta maailmaa tulevia tietoturvatutkijoita.
Se on osa yhtiön jatkuvaa pyrkimystä suojata asiakkaidensa yksityisyyttä ja tietoja turvallisuusuhkilta.
Microsoft käynnistää Bing AI Bug Bounty -ohjelman
“Kasvamme, toistamme ja kehitämme jatkuvasti palkkio-ohjelmiamme auttaaksemme Microsoftin asiakkaita pysymään kehityksen kärjessä jatkuvasti muuttuvassa tietoturvaympäristössä ja uusissa teknologioissa.” sanoo Lynn Miyashita, MSRC Bug Bounty -yhteisöpohjainen puolustusturvallisuus.
“Uusi Microsoft AI -palkkioohjelma on tulosta viime kuukausien tärkeistä investoinneista ja oppimisesta, mukaan lukien tekoälyn tietoturvatutkimushaaste ja päivitys Microsoftin tekoälyjärjestelmien haavoittuvuuden vakavuusluokitukseen.”
Redmondin jättiläisen mukaan kaikki AI-pohjaisten Bing-kokemusten haavoittuvuudet bing.com-selaimessa, mukaan lukien Bing Chat, Bing Chat for Enterprise ja Bing Image Creator, kuuluvat uuden palkkioohjelman piiriin.
Lisäksi tekoälypohjaisia Bing-integraatioita, jotka ovat oikeutettuja palkkiopalkintoihin, ovat Microsoft Edge (Windows), mukaan lukien Bing Chat for Enterprise, Microsoft Start Application (iOS ja Android) ja Skype Mobile Application (iOS ja Android).
Microsoft sanoo, että kaikki tietoturvatutkijat ympäri maailmaa voivat osallistua tähän bugipalkkioohjelmaan aiemmasta kokemuksestaan tai sijainnistaan riippumatta. Tutkijat voivat toimittaa tulokset kautta Microsoft Security Research Center (MSRC) -portaali “Bing”-osiossa ja sisällytä keskustelutunnus ja kuvaile hyökkäysvektoria.
Yritys voi oman harkintansa mukaan hyväksyä tai hylätä minkä tahansa toimituksen, jonka se katsoo, että se ei täytä yllä olevia ehtoja.
Ollakseen oikeutettu palkkioon Bing-käyttäjien on ilmoitettava Microsoftille aiemmin tuntemattomasta haavoittuvuudesta, joka on yrityksen kriteerien mukaan joko “kriittinen” tai “tärkeä” tietoturvan vakavuus. Niissä on myös oltava selkeät, ytimekkäät ja toistettavat vaiheet joko kirjallisesti tai videomuodossa, kuinka ongelma toistetaan tuotteen tai palvelun uusimmassa, täysin korjatussa versiossa.
Microsoft etsii haavoittuvuuksia, jotka täyttävät seuraavat määritelmät:
- Bingin chat-käyttäytymiseen vaikuttaminen ja muuttaminen yli käyttäjien rajojen, eli tekoälyn muuttaminen tavoilla, jotka vaikuttavat kaikkiin muihin käyttäjiin.
- Bingin chat-käyttäytymisen muokkaaminen säätämällä asiakkaan ja/tai palvelimen näkyviä määrityksiä, kuten asettamalla virheenkorjauslippuja, muuttamalla ominaisuuslippuja jne.
- Bingin keskustelujen välisten muistisuojausten rikkominen ja historian poistaminen.
- Bingin sisäisen toiminnan ja kehotteiden, päätöksentekoprosessien ja luottamuksellisten tietojen paljastaminen.
- Bingin chat-tilan istuntorajoitusten ja/tai rajoitusten/sääntöjen ohittaminen.
Uusi ohjelma tarjoaa palkkioita 2 000–15 000 dollaria hyväksytyistä lähetyksistä, ja korkeimmat palkinnot on varattu tekoälypohjaisen “Bing-kokemuksen” haavoittuvuuden vakavuudelle ja vaikutukselle sekä lähetyksen laadulle. Tukikelpoiset ehdotukset palkitaan korkeimman yksittäisen palkinnon perusteella.
“Microsoft AI Bounty -ohjelman soveltamisala rajoittuu teknisiin haavoittuvuuksiin AI-pohjaisissa Bing-kokemuksissa tunnistetuissa tuotteissa ja palveluissa. Jos löydät tutkimusta tehdessäsi asiakastietoja tai et ole varma, onko turvallista jatkaa, pysähdy ja ota yhteyttä osoitteeseen [email protected]”, Lynn huomauttaa.
Voit tarkistaa ohjelman sivulle saadaksesi lisätietoja uudesta tekoälyllä toimivasta Bing-bugipalkkioohjelmasta.
