微軟已大大更新了其Copilot AI Bug Bounty計劃,提供更大的獎勵並擴大其範圍,以涵蓋更廣泛的產品和服務。
該程序現在包括與電報和WhatsApp等消息平台的集成,以及域Copilot.microsoft.com和copilot.ai。
研究人員可以賺取高達5,000美元的中度嚴重性漏洞,而對於關鍵缺陷,則可以賺取多達30,000美元。這些變化反映了微軟更廣泛的推動,以確保其AI生態系統,因為它依賴於消費者和企業工具中的人工智能。
同樣,Defender Bug Bounty計劃激勵了研究人員解決Microsoft Defender Products中的弱點,根據嚴重程度的獎勵從500美元到20,000美元不等。
首次為中等嚴重缺陷的獎勵
,Microsoft引入了獎勵中等嚴重性漏洞,該漏洞在程序的先前迭代中尚未優先考慮。
微軟在其官方公告中說:“識別和報告中等嚴重性脆弱性的研究人員現在將有資格獲得高達5,000美元的賞金獎勵。”此更新反映了公司對較少嚴重問題的承認如何折衷的問題。其AI工具的可靠性和安全性。
嚴重的漏洞,例如AI模型中的推論操縱,繼續獲得高達30,000美元的支出,而較低的跨站點腳本(如較低的缺陷)( XSS)和不正確的輸入驗證-可以從250美元開始的研究人員獲得較小的獎勵。 擴展Copilot生態系統
Copilot AI Suite現在跨越多個平台和服務,並將功能集成到數百萬消費者每天使用的應用程序中。目的是解決廣泛採用的消息傳遞工具中潛在的漏洞,這些漏洞越來越依賴AI 。
這些補充補充了現有的賞金目標,例如Edge,Windows和Bing的AI驅動搜索。
Microsoft對AI安全性的承諾在其更廣泛的產品組合中很明顯。例如,該公司擴大了Microsoft 365賞金計劃,以包括Viva Pulse和Learning等工具,為關鍵缺陷提供高達27,000美元的獎勵。這些一致的更新反映了該公司致力於改善其不斷發展的AI驅動生態系統的安全性。
專注於安全標準
Microsoft的擴展的Bug Bounty Program集成了它的在線服務bug bar and ai bug bar 框架。這些工具為研究人員提供了評估和報告漏洞的明確標準,以確保一致且透明的評估過程。
在線服務錯誤欄概述了對微軟在線平台上漏洞進行分類的標準,而AI錯誤欄則專門針對人工智能獨有的風險,例如模型推理操縱。
在Copilot計劃中採用這些框架旨在簡化研究人員的報告過程,並標準化Microsoft如何解決其服務中的漏洞。通過將其努力與這些已建立的指南保持一致,微軟展示了其致力於與安全社區有效合作的承諾。
更廣泛的安全計劃
賞金計劃是微軟更大的安全未來倡議(SFI)的一部分,該計劃於2023年啟動,以徹底改革其網絡安全實踐。該倡議遵循美國國土安全部的網絡安全審查委員會的報告,該委員會批評公司的安全文化並建議進行重大改革。
在回應中,微軟引入了一系列措施,包括零日Quest ,這是一項黑客活動,提供400萬美元獎勵針對雲和人工智能係統中漏洞的研究人員。
SFI之類的努力突出了該公司在解決安全問題方面的主動立場。通過將其賞金計劃擴展到包括中度嚴重性漏洞並將範圍擴展到新產品的範圍,Microsoft信號願意適應AI空間中不斷發展的威脅。
Categories: IT Info