Microsoft объявила об увеличении вознаграждений за нахождение уязвимостей в ИИ — теперь за некоторые из них можно получить до 30 000 долларов. Это касается сервисов и продуктов из экосистемы Dynamics 365 и Power Platform.
Power Platform включает приложения, предназначенные для анализа данных и автоматизации бизнес-процессов. Dynamics 365 — это набор бизнес-приложений, связывающих клиентов, продукты, сотрудников и операции.
К типам уязвимостей, которые подлежат награждению, относятся манипуляции с выводами модели (inference manipulation), вмешательство в работу модели (model manipulation), раскрытие информации через косвенные данные (inferential information disclosure). При этом уязвимости должны быть отнесены к категориям «Критическая» или «Важная» по классификации для систем ИИ.
В заявлении Microsoft говорится:
Мы приглашаем отдельных специалистов и организации выявлять уязвимости в безопасности целевых приложений Dynamics 365 и Power Platform и делиться ими с нашей командой. Подходящие отчеты могут быть вознаграждены суммами от 500 долларов до 30 000 долларов.
Чтобы получить вознаграждение за ИИ-уязвимость, она должна быть воспроизводимой и соответствовать определению критичности в классификации Microsoft и быть найдена в продукте или сервисе, указанном в списке «In Scope».
Хотя базовый диапазон выплат составляет от 6000 долларов до 30 000 долларов, возможны и более высокие суммы — все зависит от влияния, тяжести уязвимости и качества отчета.
На прошлогодней конференции Ignite компания запустила мероприятие Zero Day Quest — хакатон, ориентированный на облачные и ИИ-продукты. Как сообщили в понедельник, Microsoft выплатила более 1,6 млн долларов исследователям, нашедшим более 600 уязвимостей.
Том Галлахер (Tom Gallagher), вице-президент Microsoft Security Response Center, заявил:
Мы рады сообщить, что получили более 600 отчетов об уязвимостях и выплатили свыше 1,6 млн долларов в рамках отборочного этапа и финального мероприятия.
Также почти 100 исследователей приняли участие в обучающих сессиях, включая практику поиска ИИ-уязвимостей с Red Team, обучение по SSRF и советы от команды наград.
В начале этого года Microsoft увеличила выплаты за уязвимости средней тяжести в Copilot и ввела 100% надбавку к наградам за баги, найденные в этой ИИ-системе, чтобы стимулировать исследования в этой области.
Последние статьи #Microsoft
• Windows 11, версия 24H2 получает улучшенные инструменты для проверки совместимости оборудования
• Большие изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных
• Microsoft готовит первый хотпатч для Windows 11, версия 24H2 — релиз уже на следующей неделе
• ИИ-агент в приложении «Параметры»: Windows 11 скоро научится исправлять проблемы по жалобе пользователя
• Microsoft выпустила нативное приложение Copilot для Windows 11 и Windows 10. Как установить и получить доступ в России
• Меню «Пуск», «Блокнот» и Copilot в Windows 11 получат крупные обновления с ИИ и новыми функциями