Bu hafta Google, şirketin AI sistemlerinde kusurları bulan ve bildiren güvenlik araştırmacılarına adanmış bir AI güvenlik açığı ödül programı başlattı.
Yeni Bug Bounty programı, Google Search (Google.com’da), Gemini Apps (Web, Android ve iOS) ve Google Workspace Core uygulamaları (örn., Gmail, Drive, Meet, Calendar ve diğerleri) dahil ancak bunlarla sınırlı olmamak üzere en yüksek profilli AI ürünlerindeki en etkili sorunlara odaklanmaktadır.
Diğer kapsam içi ürünler, AI Studio ve Jules gibi yüksek hassasiyetli Google AI ürünlerinde AI özelliklerinin yanı sıra Google çalışma alanı çekirdek olmayan uygulamalar ve Google ürünlerindeki diğer AI entegrasyonları içerir.
Güvenlik açıkları için ödüller, yenilik bonus çarpanları ile bireysel kalite raporları için 30.000 dolara kadar ulaşabilirken, bir amiral gemisi ürününde haydut eylemleri tetikleyebilecek güvenlik hatalarını detaylandıran standart bir güvenlik hatası, 20.000 dolara kadar bir ödül ile geliyor.
Araştırmacılar ayrıca hassas veri açıklama hataları için 15.000 dolar ve kimlik avı etkinleştirme ve model hırsızlığı sorunları için 5.000 dolara kadar bir ödül alabilirler.
| Kategori / VRP ürün katmanı | Amiral gemisi | Standart | Diğer |
|---|---|---|---|
| S1: haydut eylemler | 20.000 dolar | 15.000 dolar | 10.000 dolar |
| S2: Hassas Veri Defiltrasyonu | 15.000 dolar | 15.000 dolar | 10.000 dolar |
| A1: Kimlik avı etkinliği | 5.000 dolar | 500 $ | kredi |
| A2: Model hırsızlığı | 5.000 dolar | 500 $ | kredi |
| A3: Bağlam manipülasyonu | 5.000 dolar | 500 $ | kredi |
| A4: Erişim Denetimi Bypass | 2.500 $ | 250 $ | kredi |
| A5: Yetkisiz ürün kullanımı | 1.000 $ | 100 $ | kredi |
| A6: Çapraz Kullanıcı Hizmet Reddi | 500 $ | 100 $ | kredi |
Google, “Ekim 2023’te Google’ın AI ürünündeki hataları raporlama için ödül kriterlerini duyurduk, istismar güvenlik açığı ödül programımızı (VRP) üçüncü taraf keşfini ve AI sistemlerimize özgü sorunların ve güvenlik açıklarının raporlanmasını teşvik etmek için genişlettik.” Dedi.
Diyerek şöyle devam etti: “Google’daki AI böcek ödüllerinin ikinci yılını kutlarken, öğrendiklerimizi tartışmak ve yeni, özel AI güvenlik açığı ödül programımızın lansmanını duyurmaktan heyecan duyuyoruz!”
Mart ayında şirket ayrıca, 2024’te Şirket’in güvenlik açığı ödül programı (VRP) aracılığıyla güvenlik hatalarını keşfeden ve bildiren 660 araştırmacıya BUG Bounty Ödülleri’nde yaklaşık 12 milyon dolar verdiğini duyurdu.
Google, ilk güvenlik açığı ödül programı 2010’da yayınlandığından beri 65 milyon dolarlık böcek ödülleri verdi ve geçen yıl ödenen en yüksek ödül 110.000 doları aştı.
Bir yıl önce, 2023’te arama devi, ürün ve hizmetlerinde güvenlik kusurlarını sorumlu bir şekilde bildirmek için 632 araştırmacıya 10 milyon dolar ödedi.
Katılmak İhlal ve Saldırı Simülasyon Zirvesi ve deneyimle Güvenlik doğrulamasının geleceği. Üst düzey uzmanlardan dinleyin ve nasıl olduğunu görün AI ile çalışan BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın