Microsoft объявила об увеличении вознаграждений за нахождение уязвимостей в ИИ — теперь за некоторые из них можно получить до 30 000 долларов. Это касается сервисов и продуктов из экосистемы Dynamics 365 и Power Platform.
Power Platform включает приложения, предназначенные для анализа данных и автоматизации бизнес-процессов. Dynamics 365 — это набор бизнес-приложений, связывающих клиентов, продукты, сотрудников и операции.
К типам уязвимостей, которые подлежат награждению, относятся манипуляции с выводами модели (inference manipulation), вмешательство в работу модели (model manipulation), раскрытие информации через косвенные данные (inferential information disclosure). При этом уязвимости должны быть отнесены к категориям «Критическая» или «Важная» по классификации для систем ИИ.
В заявлении Microsoft говорится:
Мы приглашаем отдельных специалистов и организации выявлять уязвимости в безопасности целевых приложений Dynamics 365 и Power Platform и делиться ими с нашей командой. Подходящие отчеты могут быть вознаграждены суммами от 500 долларов до 30 000 долларов.
Чтобы получить вознаграждение за ИИ-уязвимость, она должна быть воспроизводимой и соответствовать определению критичности в классификации Microsoft и быть найдена в продукте или сервисе, указанном в списке «In Scope».
Хотя базовый диапазон выплат составляет от 6000 долларов до 30 000 долларов, возможны и более высокие суммы — все зависит от влияния, тяжести уязвимости и качества отчета.
На прошлогодней конференции Ignite компания запустила мероприятие Zero Day Quest — хакатон, ориентированный на облачные и ИИ-продукты. Как сообщили в понедельник, Microsoft выплатила более 1,6 млн долларов исследователям, нашедшим более 600 уязвимостей.
Том Галлахер (Tom Gallagher), вице-президент Microsoft Security Response Center, заявил:
Мы рады сообщить, что получили более 600 отчетов об уязвимостях и выплатили свыше 1,6 млн долларов в рамках отборочного этапа и финального мероприятия.
Также почти 100 исследователей приняли участие в обучающих сессиях, включая практику поиска ИИ-уязвимостей с Red Team, обучение по SSRF и советы от команды наград.
В начале этого года Microsoft увеличила выплаты за уязвимости средней тяжести в Copilot и ввела 100% надбавку к наградам за баги, найденные в этой ИИ-системе, чтобы стимулировать исследования в этой области.
Последние статьи #Microsoft
• Microsoft вернула звук загрузки из Windows Vista в инсайдерских сборках Windows 11 — это пасхалка, а не баг
• Обновление KB5060816 (Build 26120.4441) для Windows 11, версия 24H2 (Beta)
• Обновление KB5060818 (Build 26200.5651) для Windows 11, версия 24H2 (Dev)
• В Microsoft Edge появился ИИ-поиск по истории браузера
• Microsoft Edge получил функцию безопасного распространения паролей для корпоративных пользователей
• Microsoft отказалась от своей портативной консоли Xbox ради развития ПО для гейминга на Windows