Microsoft đã công bố một chương trình bounty mới tập trung vào ứng dụng Bing dựa trên AI với phần thưởng lên tới 15.000 đô.
Bing AI của Microsoft là sản phẩm đầu tiên trong phạm vi chương trình bug bounty mới, các nhà nghiên cứu bảo mật có thể báo cáo các lỗ hổng được tìm thấy trong danh sách các dịch vụ và sản phẩm trong phạm vi sau đây:
- Bản trải nghiệm Bing trên bing.com trong Trình duyệt (Tất cả các nhà cung cấp chính đều được hỗ trợ, bao gồm Bing Chat, Bing Chat Enterprise và Bing Image Creator)
- Bản tích hợp Bing trong Microsoft Edge (Windows), bao gồm Bing Chat Enterprise
- Bản tích hợp Bing trong ứng dụng Microsoft Start (iOS và Android)
- Bản tích hợp Bing AI trong ứng dụng Skype Mobile (iOS và Android)
"Chương trình bounty AI của Microsoft mời các nhà nghiên cứu bảo mật trên toàn cầu tìm kiếm các lỗ hổng trong bản trải nghiệm Bing AI mới. Những báo cáo đủ điều kiện sẽ nhận được phần thưởng từ 2.000 đến 15.000 đô", Microsoft thông báo trên trang web của chương trình bounty.
"Các báo cáo về các lỗ hổng trong các dịch vụ trực tuyến liên quan đến Bing sẽ được xem xét theo chương trình M365 Bounty".
Bên cạnh các vấn đề đã được nêu trong phần Phân loại mức độ nghiêm trọng của lỗ hổng bảo mật dành cho Hệ thống AI của Microsoft, các nhà nghiên cứu cũng được khuyến khích báo cáo các lỗ hổng dẫn đến:
- Thay đổi hành vi trò chuyện của Bing vượt qua giới hạn người dung - thay đổi AI theo cách có thể tác động đến tất cả người dùng khác.
- Điều chỉnh hành vi trò chuyện của Bing bằng cách thay đổi cấu hình hiển thị của máy khách và/hoặc máy chủ, bao gồm thay đổi các tùy chọn tính năng và gỡ lỗi (debug).
- Bỏ qua các biện pháp bảo vệ của Bing liên quan đến truy cập bộ nhớ hội thoại và xóa lịch sử.
- Tiết lộ các cơ chế nội bộ và các thông tin bí mật về quy trình ra quyết định và các hướng dẫn của Bing.
- Phá vỡ các giới hạn và quy tắc trong các phiên chế độ trò chuyện của Bing.
Công ty cũng lưu ý về danh sách các vấn đề và loại lỗ hổng nằm ngoài phạm vi, bao gồm cả những vấn đề chỉ ảnh hưởng đến kẻ tấn công, một số cuộc tấn công theo mô hình không có thật, phản hồi trò chuyện không chính xác hoặc gây khó chịu,…
Lynn Miyashita, Giám đốc Chương trình Kỹ thuật của MSRC, cho biết: “Việc hợp tác của chúng tôi với các nhà nghiên cứu bảo mật thông qua các chương trình bug bounty là một phần thiết yếu trong chiến lược toàn diện của Microsoft nhằm bảo vệ khách hàng khỏi các mối đe dọa bảo mật”.
Trong một bài đăng gần đây, Microsoft cho biết họ đã trả 13,8 triệu đô tiền thưởng cho 345 nhà nghiên cứu bảo mật trên toàn thế giới, những người đã báo cáo 1.180 lỗ hổng qua 17 chương trình bug bounty khác nhau.
Nguồn: bleepingcomputer.com
Tín nhiệm mạng | Lỗ hổng nghiêm trọng trong Máy chủ và Trung tâm dữ liệu Atlassian Confluence đang bị tin tặc khai thác để tạo tài khoản quản trị viên Confluence trong ứng dụng
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật bảo mật hằng tháng - Patch Tuesday - tháng 10 năm 2023, với các bản vá cho 104 lỗ hổng, trong đó có ba lỗ hổng zero-day đã bị khai thác trong thực tế.
Tín nhiệm mạng | Bộ tăng cường D-Link DAP-X1860 WiFi 6 có thể bị ảnh hưởng bởi một lỗ hổng cho phép tấn công từ chối dịch vụ và tấn công command injection.
Tín nhiệm mạng | Cisco đã phát hành các bản cập nhật để giải quyết một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến hệ thống Emergency Responder cho phép những kẻ tấn công từ xa, không cần xác thực, đăng nhập vào các hệ thống bị ảnh hưởng bằng thông tin xác thực được hard-coded.
Tín nhiệm mạng | Một trojan ngân hàng Android mới có tên GoldDigger được phát hiện đã nhắm mục tiêu vào các tổ chức tài chính ở Việt Nam để đánh cắp tiền của nạn nhân trên các thiết bị bị nhiễm.
Tín nhiệm mạng | Google đã phát hành các bản cập nhật bảo mật tháng 10 cho Android để giải quyết 54 lỗ hổng, trong đó có hai lỗ hổng đang bị khai thác trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
