微软宣布将Dynamics 365和Power Platform服务及产品中发现的AI漏洞赏金最高提升至3万美元。
01
产品范围与漏洞类型
Power Platform包含帮助企业分析数据和自动化流程的应用程序,而Dynamics 365则是一套连接客户、产品、人员和运营的商业应用套件。符合奖励条件的AI漏洞类型包括:
1. 推理操纵(inference manipulation)
2. 模型操纵(model manipulation)
3. 关键或重要级别的推理信息泄露(inferential information disclosure)
02
奖励机制细则
微软表示:"我们邀请个人或组织识别目标Dynamics 365和Power Platform应用程序中的安全漏洞,并与我们的团队分享。符合条件的提交可获得500至3万美元的奖励。"
"要获得AI漏洞奖励,此类漏洞必须符合微软AI系统漏洞严重性分类中定义的关键或重要级别,并且能够在'适用范围'列出的产品或服务上复现。"
虽然AI漏洞奖励范围在6000至3万美元之间,但根据所报告漏洞的影响程度、严重性以及提交质量,还可能获得更高金额的奖励。
03
漏洞奖励计划扩展
在去年的Ignite年度大会上,微软通过推出专注于云和AI产品及平台的"零日探索"(Zero Day Quest)黑客活动扩展了其漏洞奖励计划。根据周一公布的数据,该公司已向报告600多个漏洞的研究人员支付了超过600万美元。
微软安全响应中心(MSRC)工程副总裁Tom Gallagher表示:"我们很高兴地宣布,在资格研究挑战和现场活动中,我们收到了600多份漏洞报告,并颁发了超过600万美元的奖金。"
"近100名研究人员还参加了我们的培训课程,包括与AI红队进行的AI漏洞搜寻、与工程团队进行的SSRF(服务器端请求伪造)培训,以及赏金团队提供的技巧和建议。"
今年早些时候,微软还宣布提高中等严重性Microsoft Copilot(AI)漏洞的赏金金额,并对所有Copilot漏洞奖励实行100%的奖金乘数,以激励AI安全研究。
原文始发于微信公众号(FreeBuf):微软悬赏最高3万美元征集AI系统漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论