Microsoft geeft beloningen voor lekken in Bing AI-chatbot en AI-integraties
Microsoft heeft tijdens de BlueHat-conferentie het Microsoft AI Bounty Program geïntroduceerd. Onderzoekers kunnen via dit programma op verantwoorde wijze beveiligingsproblemen die zij ontdekken in de AI-functionaliteiten in Bing melden bij de Amerikaanse techgigant. Zij kunnen hiervoor een beloning ontvangen die kan oplopen tot 15.000 dollar.
Het bugbountyprogramma is gericht op kwetsbaarheden in een viertal producten:
- AI-gedreven Bing ervaringen op bing.com via webbrowser (alle grote leveranciers en inclusief Bing Chat, Bing Chat for Enterprise en Bing Image Creator)
- AI-gedreven Bing integratie in Microsoft Edge op het Windows platform, inclusief Bing Chat for Enterprise
- AI-gedreven Bing integratie in de Microsoft Start Application op iOS en Android
- AI-gedreven Bing integratie in de mobiele app van Skype op iOS en Android
Kwetsbaarheden in Bing-gerelateerde online diensten van Microsoft vallen niet onder het programma. Onderzoekers kunnen deze beveiligingsproblemen melden via het M365 Bounty Program. Microsoft benadrukt dat indien kwetsbaarheden bij het verkeerde programma worden aangemeld, het deze meldingen automatisch doorzet naar het juiste programma.
Hogere beloningen zijn mogelijk
Wie via het nieuwe bugbountyprogramma een kwetsbaarheid meldt kan indien deze wordt goedgekeurd hiervoor een beloning ontvangen. De beloningen die Microsoft via het programma uitlooft variëren van 2.000 tot 15.000 dollar, en zijn afhankelijk van de aard van het lek. Indien een zeer ernstige kwetsbaarheid met grote impact gemeld wordt kan Microsoft besluiten hiervan af te wijken en een hogere beloning toe te kennen.
Alleen kwetsbaarheden die niet eerder zijn gemeld komen in aanmerking voor een beloning. Ook moet het gaan om een kritieke of ernstige kwetsbaarheid, zoals gedefinieerd via het Microsoft Vulnerability Severity Classification for AI Systems. Het lek moet daarnaast reproduceerbaar zijn op een up-to-date versie van het getroffen product of dienst. Ook moeten onderzoekers hun melding voorzien van duidelijke en reproduceerbare stappen, die zij in zowel tekst als video kunnen aanleveren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!