微軟宣布將Dynamics 365和Power Platform服務(wù)及產(chǎn)品中發(fā)現(xiàn)的AI漏洞賞金最高提升至3萬美元。

產(chǎn)品范圍與漏洞類型

Power Platform包含幫助企業(yè)分析數(shù)據(jù)和自動化流程的應(yīng)用程序，而Dynamics 365則是一套連接客戶、產(chǎn)品、人員和運營的商業(yè)應(yīng)用套件。符合獎勵條件的AI漏洞類型包括：

• 推理操縱（inference manipulation）
• 模型操縱（model manipulation）
• 關(guān)鍵或重要級別的推理信息泄露（inferential information disclosure）

獎勵機制細(xì)則

微軟表示："我們邀請個人或組織識別目標(biāo)Dynamics 365和Power Platform應(yīng)用程序中的安全漏洞，并與我們的團隊分享。符合條件的提交可獲得500至3萬美元的獎勵。"

"要獲得AI漏洞獎勵，此類漏洞必須符合微軟AI系統(tǒng)漏洞嚴(yán)重性分類中定義的關(guān)鍵或重要級別，并且能夠在'適用范圍'列出的產(chǎn)品或服務(wù)上復(fù)現(xiàn)。"

雖然AI漏洞獎勵范圍在6000至3萬美元之間，但根據(jù)所報告漏洞的影響程度、嚴(yán)重性以及提交質(zhì)量，還可能獲得更高金額的獎勵。

漏洞獎勵計劃擴展

在去年的Ignite年度大會上，微軟通過推出專注于云和AI產(chǎn)品及平臺的"零日探索"（Zero Day Quest）黑客活動擴展了其漏洞獎勵計劃。根據(jù)周一公布的數(shù)據(jù)，該公司已向報告600多個漏洞的研究人員支付了超過600萬美元。

微軟安全響應(yīng)中心(MSRC)工程副總裁Tom Gallagher表示："我們很高興地宣布，在資格研究挑戰(zhàn)和現(xiàn)場活動中，我們收到了600多份漏洞報告，并頒發(fā)了超過600萬美元的獎金。"

"近100名研究人員還參加了我們的培訓(xùn)課程，包括與AI紅隊進(jìn)行的AI漏洞搜尋、與工程團隊進(jìn)行的SSRF（服務(wù)器端請求偽造）培訓(xùn)，以及賞金團隊提供的技巧和建議。"

今年早些時候，微軟還宣布提高中等嚴(yán)重性Microsoft Copilot（AI）漏洞的賞金金額，并對所有Copilot漏洞獎勵實行100%的獎金乘數(shù)，以激勵A(yù)I安全研究。