Технологичният гигант Google потвърди, че разширява съществуващата програма за награди за открити уязвимости, обхващайки нови сценарии за атаки, които включват генеративен AI. По този начин се насърчават хакерите да разкриват нов вид уязвимости в системите и услугите на корпорацията.
Червеният екип на Google AI имитира истински хакерски атаки
Компанията обяви през август, че е създала AI Red Team, за да използва същите видове методологии за атака, които се използват от цели държави, организирани киберпрестъпни групи и злонамерени вътрешни лица.
„Една от ключовите отговорности на червения екип на Google за изкуствен интелект е да предприеме подходящи изследвания и да ги адаптира, за да работи срещу реални продукти и функции, които използват изкуствен интелект, за да научи за тяхното въздействие“, казва Даниел Фабиан, ръководител на Google Red Teams.
Google AI Bug Bounty хакерите трябва да играят по правилата
Сега хакери извън AI Red Team и външни за самата Google могат да търсят слабите места в системите на Google за AI. Разликата е, че тези хакери трябва да работят в стриктна рамка, която определя какво попада в или извън обхвата.
Като всяка програма за награди за грешки, има насоки за това какъв тип уязвимости Google иска да разкрие; методите, които могат да бъдат използвани за това; както и процеса за докладване и получаване на плащане за откритите такива. Така например в обхвата са бързи инжекции, които са невидими за жертвите и променят състоянието на акаунта на жертвата или който и да е от нейните активи. Използването на продукт за генериране на нарушаващо, подвеждащо или фактически невярно съдържание, включително „халюцинации“ и фактически неточни отговори, не е така. По същия начин контекстите, в които противник може надеждно да задейства погрешна класификация на контрола за сигурност, за да има злонамерена употреба, са в обхвата, но когато това не представлява „завладяващ сценарий на атака или възможен път към Google или увреждане на потребителя“, не е така.
Награди за бъгове за 12 милиона долара
Google потвърди, че докато ще бъдат изплащани премии за уязвимости, разкрити под чадъра на програмата за награди за уязвимости, сумата на тези награди ще зависи от „тежестта на сценария на атаката и типа на засегнатата цел“. През 2022 г. обаче повече от 12 милиона долара бяха изплатени като награди на хакери, които бяха част от по-широката програма.
„Очакваме с нетърпение да продължим работата си с изследователската общност за откриване и отстраняване на проблеми със сигурността и злоупотребата в нашите функции, задвижвани от AI“, каза говорител на Google.
„Ако откриете отговарящ на изискванията проблем, моля, отидете на нашия уебсайт за ловец на грешки, за да ни изпратите вашия доклад за грешка и ако се установи, че проблемът е валиден, ще бъдете възнаградени, че ни помагате да защитим нашите потребители.“
Точно навреме
Потвърждението на Google за новата програма за награди за грешки в AI не може да бъде по-навременно. Обявявайки глобална среща на върха за безопасността на ИИ и предложения Институт за безопасност на ИИ, министър-председателят на Обединеното кралство Риши Сунак изнесе реч на 26 октомври, в която каза, че „Престъпниците могат да използват ИИ за кибератаки, дезинформация, измами или дори насилие над деца.“
„Генеративният AI е нож с две остриета, тъй като пейзажът на киберсигурността продължава да се развива, разпространението на ИИ само добавя допълнителна сложност към сместа“, коментира Фабиен Рех, старши вицепрезидент в Trellix.
„С първата среща на върха за безопасността на изкуствения интелект, която стартира следващата седмица, е жизненоважно за организациите да са наясно какво ще означава това за бъдещето на регулирането с тази нововъзникваща технология и как може да се очаква от бизнеса да я използва и интегрира.“, допълва той.
