Microsoft geeft beloningen voor lekken in Bing AI-chatbot en AI-integraties

[Captain Kirk]

Microsoft heeft tijdens de BlueHat-conferentie het Microsoft AI Bounty Program geïntroduceerd. Onderzoekers kunnen via dit programma op verantwoorde wijze beveiligingsproblemen die zij ontdekken in de AI-functionaliteiten in Bing melden bij de Amerikaanse techgigant. Zij kunnen hiervoor een beloning ontvangen die kan oplopen tot 15.000 dollar.

Het bugbountyprogramma is gericht op kwetsbaarheden in een viertal producten:

• AI-gedreven Bing ervaringen op bing.com via webbrowser (alle grote leveranciers en inclusief Bing Chat, Bing Chat for Enterprise en Bing Image Creator)
• AI-gedreven Bing integratie in Microsoft Edge op het Windows platform, inclusief Bing Chat for Enterprise
• AI-gedreven Bing integratie in de Microsoft Start Application op iOS en Android
• AI-gedreven Bing integratie in de mobiele app van Skype op iOS en Android

Kwetsbaarheden in Bing-gerelateerde online diensten van Microsoft vallen niet onder het programma. Onderzoekers kunnen deze beveiligingsproblemen melden via het M365 Bounty Program. Microsoft benadrukt dat indien kwetsbaarheden bij het verkeerde programma worden aangemeld, het deze meldingen automatisch doorzet naar het juiste programma.

Hogere beloningen zijn mogelijk

Wie via het nieuwe bugbountyprogramma een kwetsbaarheid meldt kan indien deze wordt goedgekeurd hiervoor een beloning ontvangen. De beloningen die Microsoft via het programma uitlooft variëren van 2.000 tot 15.000 dollar, en zijn afhankelijk van de aard van het lek. Indien een zeer ernstige kwetsbaarheid met grote impact gemeld wordt kan Microsoft besluiten hiervan af te wijken en een hogere beloning toe te kennen.

Alleen kwetsbaarheden die niet eerder zijn gemeld komen in aanmerking voor een beloning. Ook moet het gaan om een kritieke of ernstige kwetsbaarheid, zoals gedefinieerd via het Microsoft Vulnerability Severity Classification for AI Systems. Het lek moet daarnaast reproduceerbaar zijn op een up-to-date versie van het getroffen product of dienst. Ook moeten onderzoekers hun melding voorzien van duidelijke en reproduceerbare stappen, die zij in zowel tekst als video kunnen aanleveren.

 

bron: https://www.security.nl