共计 1118 个字符,预计需要花费 3 分钟才能阅读完成。
Google 近日宣布推出一项新的漏洞赏金计划,专门针对其人工智能(AI)产品中的安全漏洞和错误。该计划涵盖的产品包括 Gemini、Google Search、AI Studio 和 Google Workspace,奖励金额从 500 美元到 30,000 美元不等。
Google 安全工程经理 Jason Parsons 和 Zak Bennett 在博客文章中表示,新计划是现有滥用漏洞赏金计划(VRP)的扩展,旨在激励研究人员和漏洞赏金猎人专注于 Google 产品和服务中的“高影响力滥用问题和安全漏洞”。自 2023 年 Google 的漏洞赏金扩展到包括 AI 相关问题以来,研究人员已经获得了超过 43 万美元的奖励。Google 希望通过独立的计划鼓励更多的报告,这对于 Google 继续将 AI 集成到其数字产品套件中可能至关重要。
Google 将可能接受的报告分为以下几个领域:,
- 恶意操作 :修改账户或数据并具有安全影响的攻击。例如,使用间接提示强制 Google Home 解锁门。
- 敏感数据盗窃 :导致用户敏感数据被盗的攻击。这些可能包括间接提示注入,将电子邮件摘要发送给威胁行为者而无需用户同意。
- 钓鱼启用 :Google 网站上的钓鱼攻击向量,包括持久、跨用户的 HTML 注入。
- 模型盗窃 :可能允许攻击者窃取完整、机密模型参数的安全问题,例如暴露的 Google API。
- 上下文操纵 :导致 AI 环境持久操纵的问题,而无需大量用户交互。
- 访问控制绕过 :导致从不应访问的资源中泄露数据的攻击。
此外,Google 将考虑详细说明 AI 相关问题的报告,例如未经授权的产品使用、跨用户拒绝服务和其他形式的滥用。
Google 工程师特别指出了不在范围内的项目。这些包括越狱、基于内容的问题和 AI 幻觉。团队在去年年底指出,虽然其中一些领域对研究人员非常感兴趣,但复制这些发现可能存在困难。例如,越狱可能仅影响用户自己的会话。此外,在 Vertex AI 或其他 Google Cloud 产品中发现的问题不在本计划范围内,应通过公司的 Google Cloud VRP 报告。
Google 接受的报告提供不同的财务奖励和激励,大多数报告的奖励金额在 500 美元到 20,000 美元之间。例如,描述严重恶意操作的漏洞赏金可能会使研究人员获得高达 10,000 美元的奖励,而访问控制绕过可能会支付高达 2,500 美元。然而,根据报告的质量和报告漏洞的“新颖性”因素,可能会提供更多的现金。新计划采用了与 Google 更广泛的 VRP 相同的方法,并且对于新颖的攻击,最高可获得 10,000 美元的奖金 —— 总计 30,000 美元。
Google 表示:“我们很高兴推出这个新计划,希望我们宝贵的研究人员也是如此!”想要更多关于 AI 的故事?查看 AI 排行榜 ,我们的每周通讯。
