Microsoft looft voortaan tot 5.000 dollar uit voor ‘matige’ bugs in Copilot
Microsoft biedt al langer een bugbounty-programma aan voor Copilot, maar breidt dit nu uit naar Copilot voor WhatsApp en Telegram, copilot.microsoft.com en copilot.ai. Hackers die een kwetsbaarheid in deze diensten ontdekken, kunnen deze nu ter beoordeling indienen. Afhankelijk van de ernst en het type aanval worden onderzoekers al dan niet beloond voor hun inzending.
Hogere beloningen
Onderzoekers die een kwetsbaarheid in Copilot indienen waarvan de ernst als ‘gemiddeld’ of ‘matig’ wordt ingeschaald, kunnen voortaan een hogere beloning ontvangen tot 5.000 dollar. Dit is echter het maximale bedrag; de exacte beloning hangt onder andere af van de ‘kwaliteit’ van de melding en de ernst van de kwetsbaarheid.
Bugbounty-beloningen in Microsofts Copilot-programma variëren van 250 dollar voor cross-site scripting (XSS) tot 30.000 dollar voor code-injectie en manipulatie van het AI-model. Een overzicht van alle beloningen is te vinden op Microsofts bugbounty-site voor Copilot.
Microsoft hoopt dat de hogere beloningen en de uitbreiding van het bugbounty-programma ertoe leiden dat meer onderzoekers de AI onder de loep nemen. “Deze uitbreiding biedt onderzoekers meer mogelijkheden om bij te dragen aan de beveiliging van ons Copilot-ecosysteem en helpt ons bij het identificeren en verminderen van mogelijke kwetsbaarheden op een groter aantal platforms”, schrijft de AI-gigant in een blogpost.
Kwetsbaarheden in AI-systemen
Microsoft liet onderzoekers eerder al kwetsbaarheden indienen voor Copilot in Microsoft Edge (op Windows), de Copilot-apps op Android en iOS, Copilot in Windows en de integratie van het AI-systeem in de Bing-zoekmachine. Daar verandert niets aan: de beloning blijft hetzelfde voor alle diensten waarin Copilot beschikbaar is, mits de ernst hetzelfde wordt ingeschaald.
Ook ChatGPT-ontwikkelaar OpenAI heeft een bugbounty-programma. De kleinste bugs leveren een beloning tot 200 dollar op, terwijl onderzoekers die een grote bug opsporen tot 20.000 dollar kunnen verdienen. Beide bedrijven vragen hackers zorgvuldig om te gaan met de kwetsbaarheden die ze ontdekken. Zo is het bijvoorbeeld niet toegestaan om data buit te maken of verder te gaan dan de ‘proof-of-concept’-fase om een bug te achterhalen.
