微软于10月13日正式宣布启动全新的人工智能悬赏计划,该计划将重点聚焦于基于AI的Bing搜索体验,最高奖励额度可达15000美元。作为新计划的首个目标产品,安全研究人员可针对以下合格服务和产品提交发现的漏洞:bing.com网站浏览器中的AI驱动Bing体验(涵盖Bing Chat、Bing Chat for Enterprise及Bing Image Creator等主流功能),Windows版Microsoft Edge浏览器中的AI Bing集成(含企业版Bing Chat),iOS和Android平台上的Microsoft Start应用内AI Bing功能,以及iOS和Android版Skype移动应用中的AI Bing集成。
微软AI悬赏计划特别邀请全球安全研究人员发掘基于AI的Bing体验中存在的创新漏洞。根据官方说明,合格漏洞提交将获得2000至15000美元不等的丰厚奖励。所有提交内容都将经过严格的悬赏资格审查流程,因此研究人员无需担心提交方向问题。值得注意的是,除了微软AI系统漏洞严重性分类中明确列出的漏洞外,研究人员被特别鼓励报告以下类型的问题:能够改变Bing聊天行为的漏洞,特别是那些可能跨越用户边界、以影响全体用户的方式修改AI行为的漏洞;通过调整客户端和/或服务器端可见配置(包括修改调试和功能标志)来操控Bing聊天行为的漏洞;绕过Bing跨对话内存和历史删除保护机制的漏洞;泄露Bing内部机制、提示词、决策过程和机密信息的漏洞;以及规避Bing聊天模式会话限制和规则的漏洞。
微软同时明确列出了计划范围外的问题类型,包括仅影响攻击者的漏洞、部分模型幻觉攻击、不准确或冒犯性的聊天回应等问题。MSRC技术项目经理Lynn Miyashita表示:”与安全研究人员合作开展漏洞悬赏计划,是微软保护客户免受安全威胁的重要战略举措。我们高度重视与全球安全研究社区的伙伴关系,非常高兴将AI驱动的Bing体验纳入悬赏计划范围。”
在最新发布的年度悬赏回顾博客中,微软透露全球345名安全研究人员在17个不同漏洞悬赏计划中提交了1180个漏洞,获得总奖金达1380万美元。去年该公司进一步扩展了悬赏计划范围,将企业版Exchange、SharePoint和Skype for Business纳入其中,并提高了通过Microsoft 365计划报告高影响安全漏洞的最高奖金额度。