10 月 12 日,微軟發布新的人工智能漏洞獎勵計劃,重點關注人工智能賦能的 Bing 服務,單個漏洞最高獎勵 15000 美元。該漏洞獎勵計劃将人工智能技術賦能的 Bing 相關服務納入範圍,安全人員可以向該漏洞獎勵計劃提交以下服務和産品中的漏洞:
1. 浏覽器上訪問 bing.com 的人工智能相關的 Bing 體驗,主要包括 Bing Chat、Bing Chat 企業版、Bing Image Creator;
2. 嵌入微軟 Edge 浏覽器 ( Windows ) 的人工智能賦能的 Bing 服務,包括 Bing Chat 企業版;
3. 嵌入微軟 Start 應用的人工智能賦能的 Bing 服務,包括 iOS 和安卓版;
4. 嵌入微軟 Skype Mobile 應用的人工智能賦能的 Bing 服務,包括 iOS 和安卓版。
與 Bing 相關的在線服務相關漏洞屬于 M365 漏洞獎勵計劃,新發布的漏洞獎勵計劃主要關注人工智能系統,包括引發以下結果的漏洞:
1. 在用戶邊界改變 Bing 聊天行爲,比如改變人工智能行爲以影響其他用戶;
2. 通過修複客戶端或服務器可見配置來調整 BIng 的聊天行爲,包括修改調試和行爲标記;
3. 繞過與跨會話内容和曆史删除相關的 Bing 的安全保護;
4. 洩露 Bing 的内部機制和提示詞、決策過程和機密信息;
5. 繞過 Bing 聊天模式會話中的限制和規則。
隻影響攻擊者、模型 Hallucination ( 幻覺 ) 攻擊、不準确或保護性的聊天回複等不屬于漏洞獎勵計劃的獎勵内容。符合漏洞獎勵計劃的漏洞根據漏洞類型、漏洞質量、漏洞影響,将獲得 2000 到 15000 美元的獎勵。
微軟稱,已通過 17 個不同的漏洞獎勵計劃向 345 名安全研究人員發放 1380 萬美元的漏洞獎勵,涵蓋 1180 個漏洞。
更多參見微軟官方網站:https://www.microsoft.com/en-us/msrc/bounty-ai
