Microsoft znacząco zaktualizował swój program nagród Copilot AI Bug, oferując większe nagrody i rozszerzając swój zakres, aby pokryć szerszą gamę produktów i usług.
Program zawiera teraz integrację z platformami do przesyłania wiadomości, takimi jak Telegram i WhatsApp, wraz z domenami copilot.microsoft.com i copilot.ai.
Naukowcy mogą zarobić do 5000 USD za słabości umiarkowanej oddzielania i nawet 30 000 USD za krytyczne wady. Zmiany te odzwierciedlają szersze naciski Microsoft, aby zabezpieczyć ekosystem AI jako poleganie na sztucznej inteligencji w narzędziach konsumenckich i przedsiębiorstw. Microsoft-Bug-Bounty-Research-Cybersecurity-ai-Research.jpg”>
Rozszerzenie jest zgodne z podobnymi ulepszeniami do poprzednich programów Bug Bug Bug, w tym program nagród Bing Chat Bug, uruchomiony w 2023 Narzędzia AI o 4 napędu. Rozszerzając swój zakres na nowe produkty, takie jak integracje wiadomości, Microsoft podkreśla znaczenie ochrony swoich aplikacji opartych na AI przed powstającymi zagrożeniami.
Podobnie program defenderowy Bug Bounty badacze do rozwiązania problemów w Microsoft Defender Products , z nagrodami od 500 do 20 000 USD w zależności od nasilenia.
Wyższe nagrody za umiarkowane wady oddzielania
Po raz pierwszy, Microsoft wprowadził nagrody za Umiarkowane luki, których nie miała priorytetu w poprzednich iteracjach programu.
W swoim oficjalnym ogłoszeniu Microsoft stwierdził: „Naukowcy, którzy identyfikują i zgłaszają umiarkowane podatności na nasilenie, będą teraz kwalifikować się do nagród nagród do 5000 USD.” Ta aktualizacja odzwierciedla uznanie firmy na temat tego, w jaki sposób jeszcze mniej poważnych problemów może kompromisować Niezawodność i bezpieczeństwo jego narzędzi AI.
Krytyczne luki, takie jak manipulacja wnioskowaniem w modelach AI, nadal są nagradzane wypłatami do 30 000 USD, podczas gdy wady niższej wielkości-takie jak skrypty krzyżowe ( XSS) i niewłaściwe walidacja wejściowa-mogą zarabiać mniejsze nagrody, zaczynając od 250 USD. Rozszerzenie ekosystemu Copilot
Pakiet Copilot AI obejmuje teraz wiele platform i usług, z funkcjami zintegrowanymi w aplikacjach używanych przez miliony konsumentów dziennie. Zamierzanie rozwiązania potencjalnych podatności na szeroko przyjętych narzędzi do przesyłania wiadomości, które stają się coraz bardziej zależne od sztucznej inteligencji.
Te dodatki uzupełniają istniejące cele nagród, takie jak Copilot dla Edge, Windows i Bing’s Mated AI SEARH.
Zobowiązanie Microsoftu w bezpieczeństwo AI jest widoczne w jego szerszym portfelu produktów. Na przykład firma rozszerzyła program Microsoft 365 Bounty o narzędzia takie jak Viva Pulse i Learning, oferując nagrody w wysokości do 27 000 USD za krytyczne wady. Te spójne aktualizacje odzwierciedlają koncentrację firmy na poprawie bezpieczeństwa w ewoluującym ekosystemie opartym na AI.
Skupienie się na standardach bezpieczeństwa
Rozszerzone program Microsoft Integrate Its internetowy pasek błędów usług i AI Bug pasek Frameworks. Narzędzia te zapewniają badaczom jasne kryteria oceny i zgłaszania luk w zabezpieczeniach, zapewniając spójny i przejrzysty proces oceny.
Pasek błędów usług online przedstawia standardy kategoryzacji luk w zabezpieczeniach na platformach internetowych Microsoft, podczas gdy pasek Bug AI koncentruje się w szczególności na ryzyku unikalnym dla sztucznej inteligencji, takich jak manipulacja wnioskiem modelu.
Przyjęcie tych ram w programie COPILOT ma na celu uproszczenie procesu raportowania dla badaczy i standaryzację, w jaki sposób Microsoft dotyczy luk w swoich usługach. Dostosowując swoje wysiłki z tymi ustalonymi wytycznymi, Microsoft pokazuje swoje zaangażowanie w skuteczną współpracę ze społecznością bezpieczeństwa.
szersze inicjatywy bezpieczeństwa
aktualizacje Copilot Program Bounty jest częścią większej inicjatywy Microsoft Secure Future Initiative (SFI), uruchomionego w 2023 r. W celu przeglądu praktyk bezpieczeństwa cybernetycznego. Inicjatywa ta nastąpiła po raporcie Departamentu Bezpieczeństwa Bezpieczeństwa Wewnętrznego Departamentu Wewnętrznego Bezpieczeństwa Cyberbezpieczeństwa, która skrytykowała kulturę bezpieczeństwa firmy i zaleciła znaczne reformy.
W odpowiedzi Microsoft wprowadził serię miar, w tym Zero Day Quest , wydarzenie hakerskie oferujące 4 miliony dolarów w $ w Nagrody dla naukowców skierowanych do luk w systemach chmur i AI.
Wysiłki, takie jak SFI, podkreślają proaktywne stanowisko firmy w zakresie rozwiązywania problemów związanych z bezpieczeństwem. Rozszerzając swoje programy nagród o umiarkowane luki w rozdzielczości i rozszerzając zakres na nowe produkty, Microsoft sygnalizuje chęć dostosowania się do ewoluujących zagrożeń w przestrzeni AI.
