Microsoft har avsevärt uppdaterat sitt Copilot AI Bug Bounty-program, som erbjuder större belöningar och utvidgar sitt räckvidd för att täcka ett bredare utbud av produkter och tjänster.
Programmet innehåller nu integrationer med meddelandeplattformar som Telegram och WhatsApp, tillsammans med domänerna copilot.microsoft.com och copilot.ai.
Forskare kan tjäna upp till 5 000 dollar för sårbarheter i måttlig svavering och så mycket som $ 30 000 för kritiska brister. Dessa förändringar återspeglar Microsofts bredare drivkraft för att säkra sitt AI-ekosystem som beroende av konstgjord intelligens i konsument-och företagsverktyg växer.
Expansion följer liknande förbättringar som Microsofts tidigare Bug Bounty-program, inklusive dess Bing Chat Bug Bounty-program, som lanserades 2023, som riktade sårbarheter i GPT-4-driven AI-verktyg. Genom att utvidga sitt räckvidd till nya produkter som meddelandeintegrationer betonar Microsoft vikten av att skydda sina AI-drivna applikationer mot nya hot.
På liknande sätt stimulerar Defender Bug Bounty-programmet forskare att hantera svagheter i Microsoft Defender-produkter , med belöningar från $ 500 till $ 20 000 beroende på svårighetsgrad.
högre belöningar för Måttliga-severity-brister
För första gången har Microsoft infört belöningar för sårbarheter i måttlig allvar, som den inte hade prioriterat i tidigare iterationer av programmet.
I sitt officiella tillkännagivande uttalade Microsoft:”Forskare som identifierar och rapporterar sårbarheter i måttlig svårighetsgrad kommer nu att vara berättigade till bounty-belöningar upp till $ 5 000.”Denna uppdatering återspeglar företagets erkännande av hur ännu mindre allvarliga frågor kan kompromissa med tillförlitligheten och säkerheten för dess AI-verktyg.
kritiska sårbarheter, till exempel slutsatsmanipulation i AI-modeller, fortsätter att belönas med Utbetalningar på upp till 30 000 dollar, medan brister med lägre svänglighet-som skript på tvärsidan (XSS) och felaktig inputvalidering-kan tjäna forskare mindre belöningar från $ 250. av experter och hjälper Microsoft att hantera risker på flera nivåer.
Utökar copiloten Ekosystem
Copilot AI-sviten sträcker sig nu om flera plattformar och tjänster, med funktioner integrerade i applikationer som används av miljoner konsumenter dagligen. Allmänt antagna meddelandeverktyg, som blir allt mer beroende av AI.
Dessa tillägg kompletterar befintliga bounty-mål som Copilot för Edge, Windows och Bings AI-driven sökning.
Microsofts engagemang för AI-säkerhet är tydligt i dess bredare produktportfölj. Till exempel utvidgade företaget Microsoft 365 Bounty-programmet till att inkludera verktyg som Viva Pulse och Learning, och erbjuder belöningar på upp till 27 000 dollar för kritiska brister. Dessa konsekventa uppdateringar återspeglar företagets fokus på att förbättra säkerheten över dess utvecklande AI-driven ekosystem.
Ett fokus på säkerhetsstandarder
Microsofts utvidgade Bug Bounty-program Integrerar dess online-tjänstenfel Bar och ai bug bar ramverk. Dessa verktyg ger forskare tydliga kriterier för utvärdering och rapportering av sårbarheter, vilket säkerställer en konsekvent och transparent bedömningsprocess.
Online Services Bug Bar beskriver standarder för att kategorisera sårbarheter över Microsofts online-plattformar, medan AI-bugbaren fokuserar specifikt på risker som är unika för artificiell intelligens, till exempel modellinferensmanipulation. Antagandet av dessa ramar i Copilot-programmet syftar till att förenkla rapporteringsprocessen för forskare och standardisera hur Microsoft adresserar sårbarheter över sina tjänster. Genom att anpassa sina ansträngningar till dessa etablerade riktlinjer visar Microsoft sitt engagemang för att samarbeta effektivt med säkerhetsgemenskapen.
bredare säkerhetsinitiativ
Uppdateringarna till copiloten Bounty-programmet är en del av Microsofts större Secure Future Initiative (SFI), som lanserades 2023 för att granska sin cybersecurity-metoder. Detta initiativ följde en rapport från U.S. Department of Homeland Security: s Cyber Safety Review Board, som kritiserade företagets säkerhetskultur och rekommenderade betydande reformer.
Som svar introducerade Microsoft en serie åtgärder, inklusive Zero Day Quest , ett hackingevenemang som erbjuder 4 miljoner dollar i Belöningar till forskare som riktar sig till sårbarheter i moln-och AI-system.
ansträngningar som SFI belyser företagets proaktiva ståndpunkt när det gäller att hantera säkerhetsproblem. Genom att utvidga sina prisprogram till att omfatta sårbarheter i måttlig seger och utvidga omfattningen till nya produkter, signalerar Microsoft en vilja att anpassa sig till utvecklande hot i AI-utrymmet.
