微软推出新的AI漏洞奖励计划,重在Bing用户体验
编译:代码卫士
这份新的漏洞奖励计划将受AI驱动的Bing用户体验作为第一款覆盖产品,安全研究员可提交来自如下合法服务和产品中的漏洞:
浏览器中bing.com上的受AI驱动的Bing 用户体验(浏览器支持所有主流厂商,如Bing Chat、Bing Chat for Enterprise 和 Bing Image Creator)
微软Edge (Windows) 中的受AI驱动的Bing 继承,包括Bing Chat for Enterprise
微软Start Application(iOS 和安卓)中的受AI驱动的Bing 集成
Skype 移动应用(iOS 和安卓)中的受AI驱动的Bing 集成
微软在AI漏洞奖励计划网站上解释称,“微软AI漏洞奖励计划邀请全球安全研究员在新的、创新的、受AI驱动的Bing 用户体验中你发现漏洞。符合要求的漏洞报告可获得从2000到1.5万美元不等的奖励金。”
微软指出,“关于与Bing相关的在线服务的漏洞报告将视作属于 M365 漏洞奖励计划。所有漏洞报告都会被审计是否符合漏洞奖励要求,因此如果不确定自己的报告应该提交到何处,不必担心。”
除了微软在《AI系统的漏洞严重性分类》中列出的问题外,微软还鼓励研究员报送可导致如下后果的漏洞:
修改用户边界范围的 Bing 聊天行为,如更改AI的行为可影响其它所有用户。
通过修改客户端和/或服务器可见配置的方式,调整Bing的聊天行为,包括更改调试和特性标记。
绕过与跨会话内存和历史删除相关的 Bing 保护措施。
披露Bing的内部机制和提示、决策流程以及机密信息。
规避Bing 聊天模式会话中的限制条件和规则。
微软还列出了一长串不在漏洞奖励计划范围内的问题和漏洞类型清单,包括仅影响攻击者的漏洞类型、某些模型幻觉攻击、不正确或不当的聊天响应等等。
微软安全响应中心技术计划经理 Lynn Miyashita 提到,“通过我们的漏洞奖励计划与安全研究员进行合作,对微软保护客户免受安全威胁的整体战略至关重要。我们珍惜与全球安全研究社区的合作伙伴关系,并很高兴将受AI驱动的Bing体验纳入覆盖范围。”
微软在最近发布的年度漏洞奖励计划回顾文章中剃刀,已经向通过17个不同漏洞奖励计划报送1180个漏洞的全球安全研究人员发放了1380万美元的奖励。去年,微软将本地Exchange、SharePoint和Skype企业版纳入漏洞奖励计划,并提高了通过微软365计划报送的高影响漏洞的奖励金。
https://www.bleepingcomputer.com/news/security/new-microsoft-bug-bounty-program-focuses-on-ai-powered-bing/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。