Η Microsoft ανακοίνωσε ένα νέο πρόγραμμα bug bounty που επικεντρώνεται στην εμπειρία Bing που βασίζεται στην τεχνητή νοημοσύνη (AI). Οι αμοιβές των ερευνητών θα φτάνουν τα 15.000 $.
Στα πλαίσια αυτού του νέου προγράμματος bug bounty για το Bing, οι ερευνητές ασφαλείας θα μπορούν να υποβάλουν ευπάθειες που βρίσκονται στην ακόλουθη λίστα υπηρεσιών και προϊόντων:
- AI-powered Bing experiences στο bing.com στο πρόγραμμα περιήγησης (Υποστηρίζονται όλοι οι μεγάλοι προμηθευτές, συμπεριλαμβανομένου του Bing Chat, Bing Chat for Enterprise και Bing Image Creator)
- AI-powered Bing integration στο Microsoft Edge (Windows), συμπεριλαμβανομένου του Bing Chat for Enterprise
- AI-powered Bing integration στο Microsoft Start Application (iOS και Android)
- AI-powered Bing integration στο Skype Mobile Application (iOS και Android)
“Το πρόγραμμα AI bug bounty της Microsoft προσκαλεί ερευνητές ασφαλείας από όλο τον κόσμο να ανακαλύψουν τρωτά σημεία στη νέα, καινοτόμο εμπειρία Bing με τεχνητή νοημοσύνη. Οι πιστοποιημένες υποβολές είναι επιλέξιμες για επιβραβεύσεις από $2.000 έως $15.000 USD“, εξηγεί η Microsoft.
Δείτε επίσης: Google: Επεκτείνει τα προγράμματα exploit reward για Chrome V8, Google Cloud
“Οι υποβολές που εντοπίζουν ευπάθειες σε διαδικτυακές υπηρεσίες που σχετίζονται με το Bing, θα ληφθούν υπόψη στο πλαίσιο του M365 Bounty Program. Όλες οι υποβολές ελέγχονται ως προς την καταλληλότητα για ανταμοιβές, επομένως μην ανησυχείτε εάν δεν είστε σίγουροι πού ταιριάζει η υποβολή σας“.
| Vulnerability type | Report quality | Severity | |||
| Critical | Important | Moderate | Low | ||
| Inference Manipulation | High Medium Low | $15,000 $10,000 $6,000 | $6,000 $3,000 $2,000 | $0 | $0 |
| Model Manipulation | High Medium Low | $15,000 $10,000 $6,000 | $6,000 $3,000 $2,000 | $0 | $0 |
| Inferential Information Disclosure | High Medium Low | $15,000 $10,000 $6,000 | $6,000 $3,000 $2,000 | $0 | $0 |
Επιπλέον, οι ερευνητές ενθαρρύνονται να αναφέρουν ευπάθειες που έχουν ως αποτέλεσμα:
- Αλλαγή της συμπεριφοράς chat του Bing πέρα από τα όρια των χρηστών, δηλαδή αλλαγή της τεχνητής νοημοσύνης με τρόπους που θα μπορούσαν να επηρεάσουν όλους τους άλλους χρήστες.
- Προσαρμογή της συμπεριφοράς chat του Bing αλλάζοντας την ορατή διαμόρφωση client and/or server, συμπεριλαμβανομένης της αλλαγής debug και feature flags.
- Παράκαμψη των safeguards του Bing που σχετίζονται με cross-conversation memory και τη διαγραφή ιστορικού.
- Αποκάλυψη των εσωτερικών μηχανισμών και των προτροπών του Bing, των διαδικασιών λήψης αποφάσεων και των εμπιστευτικών πληροφοριών.
- Παράκαμψη περιορισμών και κανόνων σε chat mode sessions του Bing.
Η εταιρεία ανέφερε, επίσης, μια μακρά λίστα ζητημάτων και τύπων ευπάθειας που είναι εκτός πεδίου εφαρμογής, για να ξέρουν τι πρέπει να ψάξουν οι ερευνητές.
“Η συνεργασία με ερευνητές ασφάλειας μέσω των προγραμμάτων μας bug bounty είναι ένα ουσιαστικό μέρος της ολιστικής στρατηγικής της Microsoft για την προστασία των πελατών από απειλές ασφαλείας“, δήλωσε η Technical Program Manager του MSRC, Lynn Miyashita, για το νέο bug bounty για το Bing.
Δείτε επίσης: AI Bing Image Generator: Αποκλείει περιεχόμενο που σχετίζεται με τους “Δίδυμους Πύργους”
“Εκτιμούμε τη συνεργασία μας με την παγκόσμια ερευνητική κοινότητα ασφάλειας και είμαστε ενθουσιασμένοι που επεκτείνουμε το πεδίο εφαρμογής μας για να συμπεριλάβουμε την εμπειρία Bing που βασίζεται σε AI“.
Σε μια πρόσφατη ανάρτηση, η Microsoft είπε ότι έδωσε 13,8 εκατομμύρια δολάρια ως ανταμοιβές σε 345 ερευνητές ασφαλείας από όλο τον κόσμο, που ανέφεραν 1.180 ευπάθειες σε 17 διαφορετικά προγράμματα bug bounty.
Τα προγράμματα Bug Bounty αποτελούν ένα ανερχόμενο εργαλείο στο πεδίο της ασφάλειας κυβερνοχώρου, που επιδιώκει να εξασφαλίσει την προστασία σύγχρονων συστημάτων από κυβερνοεπιθέσεις. Αυτά τα προγράμματα που λειτουργούν με βάση την αρχή της “επίθεσης για να καταστεί δυνατή η προστασία“, προσφέρουν επιβραβεύσεις για την ανακάλυψη ευπαθειών στα συστήματα.
Επιτρέπουν στους οργανισμούς να επωφεληθούν από τις γνώσεις εξωτερικών και ανεξάρτητων ερευνητών, οι οποίοι εντοπίζουν και αναφέρουν ευπάθειες στα συστήματα τους, κερδίζοντας ανταμοιβές για την προσπάθειά τους.
Δείτε επίσης: Το DALL-E 3 είναι πλέον διαθέσιμο δωρεάν στο Bing Chat
Με άλλα λόγια, τα προγράμματα Bug Bounty είναι απαραίτητα για την εξασφάλιση της ασφάλειας κυβερνοχώρου διότι:
- Παρέχουν ένα επίπεδο άμυνας από τις επιθέσεις, καλύπτοντας τα κενά που έχουν αγνοηθεί ή παρεξηγηθεί από τις ομάδες ασφάλειας των ίδιων των εταιρειών.
- Αποδεικνύουν ότι ακόμη και τα πιο υψηλά επίπεδα ασφάλειας μπορεί να είναι ευάλωτα, στέλνοντας ένα ισχυρό μήνυμα για την ανάγκη συνεχούς βελτίωσης.
- Βοηθούν τις επιχειρήσεις να κατανοήσουν καλύτερα τις απειλές ασφάλειας, αναλύοντας τις εμπειρικές, τεχνικές και στρατηγικές πτυχές της κυβερνοασφάλειας.
Επομένως, τα προγράμματα Bug Bounty, όπως αυτό για το Bing, συμβάλλουν σημαντικά στην ασφάλεια του κυβερνοχώρου, ενθαρρύνοντας και κινητοποιώντας την έρευνα.
Πηγή: www.bleepingcomputer.com
. Οι){kind=link}