Microsoft hat sein Copilot AI Bug Bounty-Programm erheblich aktualisiert, wobei er größere Belohnungen bietet und seinen Umfang erweitert, um eine breitere Palette von Produkten und Dienstleistungen abzudecken.
Das Programm enthält jetzt Integrationen mit Messaging-Plattformen wie Telegram und WhatsApp neben den Domains Copilot.microsoft.com und Copilot.ai.
Forscher können bis zu 5.000 US-Dollar für mittelschwere Schwachstellen und bis zu 30.000 US-Dollar für kritische Mängel verdienen. Diese Änderungen spiegeln den breiteren Vorstoß von Microsoft wider, sein AI-Ökosystem als Abhängigkeit von künstlicher Intelligenz bei Verbraucher-und Unternehmenstools zu sichern. Microsoft-Bug-Bounty-Research-Cybersecurity-ai-Research.jpg”>
Die Erweiterung folgt ähnliche Verbesserungen wie die früheren Bug Bounty-Programme von Microsoft, einschließlich des im Jahr 2023 gestarteten Bing-Chat-Bug-Bounty-Programms, das sich auf Schwebel in GPT-GPT-Programmen ins Visier genommen hat. 4-betriebene KI-Werkzeuge. Microsoft erweitert seinen Umfang auf neue Produkte wie Messaging-Integrationen und betont, wie wichtig es ist, seine KI-gesteuerten Anwendungen gegen aufkommende Bedrohungen zu schützen. Mit Belohnungen im Abschnitt zwischen 500 und 20.000 US-Dollar, je nach Schweregrad. Schwachstellen mit mittleren Verletzlichkeiten, die es in früheren Iterationen des Programms nicht priorisiert hatte.
In seiner offiziellen Ankündigung erklärte Microsoft: „Forscher, die mäßige Schwachstellen der Schwere identifizieren und melden Die Zuverlässigkeit und Sicherheit seiner KI-Tools. XSS) und unsachgemäße Input-Validierung-können Forscher mit 250 US-Dollar kleinere Belohnungen verdienen. Erweiterung des Copilot-Ökosystems
Die Copilot AI Suite erstreckt sich jetzt über mehrere Plattformen und Dienste, die in Anwendungen integriert sind, die von Millionen von Verbrauchern täglich verwendet werden. Absicht, potenzielle Schwachstellen in weit verbreiteten Messaging-Tools anzugehen, die zunehmend auf KI angewiesen sind.
Diese Ergänzungen ergänzen vorhandene Kopfgeldziele wie Copilot für Edge, Windows und Bing von KI-gestützt. Zum Beispiel erweiterte das Unternehmen das Microsoft 365 Bounty-Programm um Tools wie Viva Pulse und Learning und bietet Belohnungen von bis zu 27.000 US-Dollar für kritische Mängel. Diese konsequenten Updates spiegeln den Fokus des Unternehmens auf die Verbesserung der Sicherheit in seinem sich entwickelnden KI-gesteuerten Ökosystem wider. Es ist Online-Dienste Bug-Bar und AI BUG BAR Frameworks. Diese Tools bieten Forschern eindeutige Kriterien für die Bewertung und Berichterstattung über Schwachstellen und gewährleisten einen konsistenten und transparenten Bewertungsprozess.
Die Bugs-Bar der Online-Dienste beschreibt Standards für die Kategorisierung von Schwachstellen über die Online-Plattformen von Microsoft, während sich die KI-Fehlerleiste speziell auf Risiken konzentriert Die Einführung dieser Frameworks im Copilot-Programm zielt darauf ab, den Berichtsprozess für Forscher zu vereinfachen und zu standardisieren, wie Microsoft Schwachstellen in seinen Diensten angeht. Durch die Ausrichtung ihrer Bemühungen mit diesen festgelegten Richtlinien demonstriert Microsoft sein Engagement für die effektive Zusammenarbeit mit der Sicherheitsgemeinschaft. Das Bounty-Programm ist Teil der größeren sicheren zukünftigen Initiative von Microsoft (SFI), die im Jahr 2023 gestartet wurde, um seine Cybersecurity-Praktiken zu überarbeiten. Diese Initiative folgte einem Bericht des Cyber Safety Review Board des US-amerikanischen Ministeriums für Heimatschutz, in dem die Sicherheitskultur des Unternehmens kritisierte und bedeutende Reformen empfohlen hatte.
Einsatz führte Microsoft eine Reihe von Maßnahmen vor, darunter die Zero Day Quest , ein Hacking-Event, das 4 Millionen US-Dollar an bietet Belohnungen an Forscher, die sich an Schwachstellen in Cloud-und KI-Systemen richten. Durch die Erweiterung seiner Kopfgeldprogramme auf Schwachstellen mit mittleren Severity und die Erweiterung des Umfangs auf neue Produkte signalisiert Microsoft die Bereitschaft, sich an die Entwicklung von Bedrohungen im KI-Raum anzupassen.
