Microsoft, AI ve Makine Öğrenimi (AI/ML) teknolojilerinde güvenlik açıklarını keşfeden güvenlik araştırmacılarına 30.000 dolara kadar sunan yeni bir ödül programı başlattı.
Microsoft Güvenlik Müdahale Merkezi (MSRC) tarafından açıklanan bu girişim, Microsoft’un AI güdümlü ürünlerine dayanan kullanıcılar ve kuruluşlar için ciddi riskler oluşturabilecek kusurların sorumlu olarak ifşa edilmesini teşvik etmeyi amaçlamaktadır.
Microsoft’un son Bug Bounty, müşterileri hem geleneksel hem de AI ile çalışan ürünlerdeki güvenlik açıklarından kaynaklanabilecek potansiyel sömürüden koruma konusundaki taahhüdünü yansıtıyor.
.png
)
Bir Microsoft sözcüsü, “AI güvenlik açıklarını belirleme ve düzeltme konusunda müşteriler ve güvenlik araştırmacıları ile şeffaf bir şekilde çalışmaya adadık” dedi.
Şirket, ortak AI/ML güvenlik açığı türleri için ayrıntılı bir şiddet sınıflandırmasını özetleyerek, triyaj sürecinde hem teknik etkinin hem de sömürü kolaylığının önemini vurguladı.
AI/ML güvenlik kusurlarını anlamak
Yapay zeka sistemlerindeki güvenlik kusurları, veri ihlallerinden manipüle edilen karar almaya kadar geniş kapsamlı sonuçlara sahip olabilir.
Microsoft’un sınıflandırması bu güvenlik açıklarını iki temel kategoriye ayırır: çıkarım manipülasyonu ve model manipülasyonu. Aşağıdaki tablo Microsoft’un yaklaşımını özetlemektedir:
| Güvenlik açığı | Tanım | Darbe | Şiddet |
| Hızlı enjeksiyon | Modelin istenmeyen çıkışlar üretmesini sağlamak için enjekte talimatları. | Veri Pessfiltration veya ayrıcalıklı eylemler (sıfır-tıkaç) | Eleştirel |
| Hızlı enjeksiyon | Yukarıdakilerle aynı, ancak bazı kullanıcı etkileşimi gerektiriyor (bir veya daha fazla tıklama). | Veri Defiltrasyonu veya ayrıcalıklı eylemler (kullanıcı etkileşimi gerekli) | Önemli |
| Giriş bozulması | Yanlış model çıkışları elde etmek için geçerli girişlerin (rakip örnekler) değiştirilmesi. | Veri Pessfiltration veya ayrıcalıklı eylemler (sıfır-tıkaç) | Eleştirel |
| Giriş bozulması | Yukarıdakilerle aynı, ancak bazı kullanıcı etkileşimi gerektiriyor. | Veri Defiltrasyonu veya ayrıcalıklı eylemler (kullanıcı etkileşimi gerekli) | Önemli |
| Model/Veri Zehirlenmesi | Eğitim sırasında modelin manipüle edilmesi (örneğin, verileri veya mimariyi değiştirme). | Diğer kullanıcıları veya genel içeriği etkileyen karar verirken kullanılır | Eleştirel |
En şiddetli kusurlar için 30.000 dolara ulaşan yeni ödül, AI güvenlik bulguları için şu anda sunulan en yüksek ödüllerden biri.
Microsoft, bunun şirket ve daha geniş güvenlik araştırma topluluğu arasındaki işbirliğini teşvik edeceğini ve kritik tehditlerin hızlı bir şekilde tanımlanmasını ve çözülmesini sağlayacağını umuyor.
Katılmak isteyen güvenlik araştırmacıları Microsoft’un yönergelerini inceleyebilir ve bulgularını MSRC portalı üzerinden gönderebilir.
Ödül, dil modellerindeki hızlı enjeksiyonlardan makine öğrenimi modeli eğitimi sırasında veri zehirlenmesi saldırılarına kadar bir dizi AI güvenlik açığını kapsar.
Yapay zeka, iş ve günlük yaşam için giderek daha merkezi hale geldikçe, Microsoft’un proaktif yaklaşımı endüstri sorumluluğu için yeni bir standart belirler.
Bu sağlam ödül programı ile şirket sadece kendi platformlarının güvenliğini arttırmakla kalmıyor, aynı zamanda herkes için daha güvenli bir AI ekosistemine de katkıda bulunuyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!