Microsoft lanceerde vorige week een nieuw AI-bugbounty-programma dat beveiligingsonderzoekers van over de hele wereld zal belonen voor het ontdekken van kwetsbaarheden in de nieuwe, innovatieve, door AI aangedreven Bing-producten en -apps.
Het maakt deel uit van de voortdurende inspanningen van het bedrijf om de privacy en gegevens van zijn klanten te beschermen tegen veiligheidsrisico’s.
Microsoft lanceert het Bing AI Bug Bounty-programma
“We zijn voortdurend bezig met het uitbreiden, herhalen en ontwikkelen van onze premieprogramma’s om Microsoft-klanten te helpen voorop te blijven lopen in het steeds veranderende beveiligingslandschap en opkomende technologieën,” zegt Lynn Miyashita, MSRC Bug Bounty Gemeenschapsgebaseerde defensiebeveiliging.
“Het nieuwe Microsoft AI-bountyprogramma is het resultaat van belangrijke investeringen en lessen van de afgelopen maanden, waaronder een uitdaging op het gebied van AI-beveiligingsonderzoek en een update van de ernstclassificatie van Microsoft voor AI-systemen.”
Volgens de gigant uit Redmond vallen alle kwetsbaarheden in de AI-aangedreven Bing-ervaringen op bing.com in Browser, inclusief Bing Chat, Bing Chat for Enterprise en Bing Image Creator, binnen de reikwijdte van het nieuwe premieprogramma.
Verder zijn AI-aangedreven Bing-integraties die in aanmerking komen voor premieprijzen Microsoft Edge (Windows), inclusief Bing Chat for Enterprise, Microsoft Start Application (iOS en Android) en de Skype Mobile Application (iOS en Android).
Microsoft zegt dat alle beveiligingsonderzoekers over de hele wereld, ongeacht hun eerdere ervaring of locatie, kunnen deelnemen aan dit bugbountyprogramma. Onderzoekers kunnen hun resultaten indienen via de Microsoft Security Research Center (MSRC)-portal in de sectie ‘Bing’, en vermeld de gespreks-ID, en beschrijf de aanvalsvector.
Het bedrijf kan naar eigen goeddunken elke inzending accepteren of afwijzen waarvan het vaststelt dat deze niet aan de bovenstaande criteria voldoet.
Om in aanmerking te komen voor beloningen moeten Bing-gebruikers Microsoft op de hoogte stellen van een voorheen onbekende kwetsbaarheid, die volgens de criteria van het bedrijf ‘Kritisch’ of ‘Belangrijk’ is voor de veiligheid. Ze moeten ook duidelijke, beknopte en reproduceerbare stappen bevatten, schriftelijk of in videoformaat, over hoe het probleem kan worden gereproduceerd in de nieuwste, volledig gepatchte versie van het product of de dienst.
Microsoft is op zoek naar kwetsbaarheden die aan de volgende definities voldoen:
- Het beïnvloeden en veranderen van het chatgedrag van Bing over de gebruikersgrenzen heen, dat wil zeggen de AI veranderen op een manier die gevolgen heeft voor alle andere gebruikers.
- Het chatgedrag van Bing aanpassen door de zichtbare configuratie van de client en/of server aan te passen, zoals het instellen van foutopsporingsvlaggen, het wijzigen van functievlaggen, enz.
- Bing’s geheugenbeveiliging voor kruisgesprekken en het verwijderen van de geschiedenis worden doorbroken.
- Het onthullen van de interne werking en aanwijzingen van Bing, besluitvormingsprocessen en vertrouwelijke informatie.
- Het omzeilen van de sessielimieten en/of beperkingen/regels van Bing in de chatmodus.
Het nieuwe programma biedt premiebeloningen van $2.000 tot $15.000 voor gekwalificeerde inzendingen, waarbij de hoogste beloningen zijn gereserveerd voor de ernst en impact van de kwetsbaarheid in de door AI aangedreven “Bing-ervaring”, evenals voor de kwaliteit van de inzending. In aanmerking komende inzendingen worden beloond met de hoogste kwalificatieprijs.
“De reikwijdte van het Microsoft AI-bountyprogramma is beperkt tot technische kwetsbaarheden in de AI-aangedreven Bing-ervaringen in de geïdentificeerde producten en diensten. Als u klantgegevens ontdekt tijdens het uitvoeren van uw onderzoek, of als u niet zeker weet of het veilig is om verder te gaan, neem dan contact met ons op via [email protected]”, merkt Lynn op.
Je kunt de programmapagina voor meer informatie over het nieuwe AI-aangedreven Bing bug bounty-programma.