Microsoft объявила об увеличении вознаграждений за нахождение уязвимостей в ИИ — теперь за некоторые из них можно получить до 30 000 долларов. Это касается сервисов и продуктов из экосистемы Dynamics 365 и Power Platform.
Power Platform включает приложения, предназначенные для анализа данных и автоматизации бизнес-процессов. Dynamics 365 — это набор бизнес-приложений, связывающих клиентов, продукты, сотрудников и операции.
К типам уязвимостей, которые подлежат награждению, относятся манипуляции с выводами модели (inference manipulation), вмешательство в работу модели (model manipulation), раскрытие информации через косвенные данные (inferential information disclosure). При этом уязвимости должны быть отнесены к категориям «Критическая» или «Важная» по классификации для систем ИИ.
В заявлении Microsoft говорится:
Мы приглашаем отдельных специалистов и организации выявлять уязвимости в безопасности целевых приложений Dynamics 365 и Power Platform и делиться ими с нашей командой. Подходящие отчеты могут быть вознаграждены суммами от 500 долларов до 30 000 долларов.
Чтобы получить вознаграждение за ИИ-уязвимость, она должна быть воспроизводимой и соответствовать определению критичности в классификации Microsoft и быть найдена в продукте или сервисе, указанном в списке «In Scope».
Хотя базовый диапазон выплат составляет от 6000 долларов до 30 000 долларов, возможны и более высокие суммы — все зависит от влияния, тяжести уязвимости и качества отчета.
На прошлогодней конференции Ignite компания запустила мероприятие Zero Day Quest — хакатон, ориентированный на облачные и ИИ-продукты. Как сообщили в понедельник, Microsoft выплатила более 1,6 млн долларов исследователям, нашедшим более 600 уязвимостей.
Том Галлахер (Tom Gallagher), вице-президент Microsoft Security Response Center, заявил:
Мы рады сообщить, что получили более 600 отчетов об уязвимостях и выплатили свыше 1,6 млн долларов в рамках отборочного этапа и финального мероприятия.
Также почти 100 исследователей приняли участие в обучающих сессиях, включая практику поиска ИИ-уязвимостей с Red Team, обучение по SSRF и советы от команды наград.
В начале этого года Microsoft увеличила выплаты за уязвимости средней тяжести в Copilot и ввела 100% надбавку к наградам за баги, найденные в этой ИИ-системе, чтобы стимулировать исследования в этой области.
Последние статьи #Microsoft
• Microsoft продолжает перенос настроек из Панели управления в приложение «Параметры» в Windows 11
• Microsoft выпустила Recall, функцию Click to Do и умный поиск на основе ИИ для Copilot+ ПК – доступно в KB5055627 для Windows 11, версия 24H2
• Microsoft устраняет баг с перегрузкой процессора при наборе писем в Outlook
• Обновление KB5055632 (Build 26200.5570) для Windows 11, версия 24H2 (Dev)
• Обновление KB5055634 (Build 26120.3941) для Windows 11, версия 24H2 (Beta)
• Обновление KB5055627 (Build 26100.3915) Preview для Windows 11, версия 24H2