Microsoft geeft beloningen voor lekken in Bing AI-chatbot en AI-integraties
Microsoft heeft tijdens de BlueHat-conferentie het Microsoft AI Bounty Program geïntroduceerd. Onderzoekers kunnen via dit programma op verantwoorde wijze beveiligingsproblemen die zij ontdekken in de AI-functionaliteiten in Bing melden bij de Amerikaanse techgigant. Zij kunnen hiervoor een beloning ontvangen die kan oplopen tot 15.000 dollar.
Het bugbountyprogramma is gericht op kwetsbaarheden in een viertal producten:
- AI-gedreven Bing ervaringen op bing.com via webbrowser (alle grote leveranciers en inclusief Bing Chat, Bing Chat for Enterprise en Bing Image Creator)
- AI-gedreven Bing integratie in Microsoft Edge op het Windows platform, inclusief Bing Chat for Enterprise
- AI-gedreven Bing integratie in de Microsoft Start Application op iOS en Android
- AI-gedreven Bing integratie in de mobiele app van Skype op iOS en Android
Kwetsbaarheden in Bing-gerelateerde online diensten van Microsoft vallen niet onder het programma. Onderzoekers kunnen deze beveiligingsproblemen melden via het M365 Bounty Program. Microsoft benadrukt dat indien kwetsbaarheden bij het verkeerde programma worden aangemeld, het deze meldingen automatisch doorzet naar het juiste programma.
Hogere beloningen zijn mogelijk
Wie via het nieuwe bugbountyprogramma een kwetsbaarheid meldt kan indien deze wordt goedgekeurd hiervoor een beloning ontvangen. De beloningen die Microsoft via het programma uitlooft variëren van 2.000 tot 15.000 dollar, en zijn afhankelijk van de aard van het lek. Indien een zeer ernstige kwetsbaarheid met grote impact gemeld wordt kan Microsoft besluiten hiervan af te wijken en een hogere beloning toe te kennen.
Alleen kwetsbaarheden die niet eerder zijn gemeld komen in aanmerking voor een beloning. Ook moet het gaan om een kritieke of ernstige kwetsbaarheid, zoals gedefinieerd via het Microsoft Vulnerability Severity Classification for AI Systems. Het lek moet daarnaast reproduceerbaar zijn op een up-to-date versie van het getroffen product of dienst. Ook moeten onderzoekers hun melding voorzien van duidelijke en reproduceerbare stappen, die zij in zowel tekst als video kunnen aanleveren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
