(bing AI)マイクロソフトから懸賞金をもらえる!賞金稼ぎのやり方。
こんにちは、パトルです。
2023年10月12日、マイクロソフトのホームページでMicrosoft AIの脆弱性を発見したら懸賞金を出すプログラムが始まりました。
最大$15,000(約225万円)もらえます。脆弱性のレベルは8段階くらいに分かれており、下から3番目でも$2,000(約30万円)もらえます。
わざわざ脆弱性を探さなくても、AIをいじりまくっている人であれば偶然見つけてしまうこともあり得ます。そんな時にこの懸賞金の情報を知っていれば大金を得られる可能性があります!今回は、そんな魅力的なAI懸賞金の内容をまとめました。
マイクロソフトでは前から懸賞金制度がある
マイクロソフトにはBounty(報償)Programという報償制度があり、MS製品に対するセキュリティの脆弱性を報告すると賞金を受け取ることができます。2023年10月12日に、AI(bing AI)も含まれました!
対象となるAIサービス
bing.com上のAI体験
Microsoft Edge(Windows)でのBing体験
Microsoft Startやスカイプモバイル (iOS及びアンドロイド)のBing AI
BingとAIが関わっていれば大体対象になりそうです。
適用条件
まだ衆知になっていないこと
製品またはサービスの最新の完全にパッチが当たったバージョンで再現可能であり、かつ重要な問題であること
明確で簡潔かつ再現可能な手順を、文章またはビデオ形式で含めること
問題を迅速に再現、理解、そして修正するために必要な情報を提供すること
https://www.microsoft.com/en-us/msrc/bounty-ai
報償の対象になる脆弱性
特に知っておくべきだと思うのは、攻撃者に対してのコンテンツを生成するプロンプトインジェクション(悪意のあるプロンプト)、情報漏洩をするふりをするハルシネーション(幻覚)、不正確・攻撃的な応答などは含まないことです。以下、詳細を列挙しますので興味がある人はご覧ください。
対象の例
・Bingのチャット動作をユーザー境界を超えて影響させ、変更すること、つまり、他のすべてのユーザーに影響を与える方法でAIを変更すること。
・クライアントおよび/またはサーバーの可視設定を調整することにより、Bingのチャット動作を変更すること、たとえば、デバッグフラグを設定する、機能フラグを変更するなど。
・Bingのクロスコンバーサーションメモリ保護と履歴削除を壊すこと。
・Bingの内部動作およびプロンプト、意思決定プロセス、および機密情報を明らかにすること。
・Bingのチャットモードセッションの制限および/または規制/ルールをバイパスすること。
対象外の例
・ハードウェアコンポーネントへの物理アクセスが必要な脆弱性 URLリダイレクト(他の脆弱性と組み合わせて、より重大な脆弱性を生じさせる場合を除く)
・Cookieリプレイ脆弱性
・サブドメインの乗っ取り
・サービス拒否問題
・低影響のCSRFバグ(ログオフなど)
・IP、サーバー名、およびほとんどのスタックトレースなど、サーバー側の情報開示。
・デバッグページおよび逆変換されたminified JS
・製品コードや機能の変更なしに、製品ドキュメントの更新を介して対処される脆弱性。
・広範または可能性の低いユーザーアクションが必要な脆弱性
・ユーザーが作成したコンテンツやアプリケーションの脆弱性
・ギャラリーイメージおよびISVアプリケーション
・問題のオンラインサービスに固有でないプラットフォーム技術の脆弱性(例えば、ApacheまたはIISの脆弱性)
・サポートされていないブラウザやプラグインのみに影響を与える脆弱性
・トレーニング、文書、コミュニティに関する脆弱性
申請方法
MSRC Researcher Portalから提出する。
脆弱性提出の「Products」セクションで「Bing」を選択する。
脆弱性提出の「Details to reproduce」セクションに会話IDを含める。
会話IDを取得するには、「/id」というチャットコマンドを入力する。
脆弱性の攻撃ベクターを説明する。
まとめ
同じ脆弱性を報告した場合は早い者勝ちとのことです。また、Bing AIはまだユーザーも多くないので今がチャンスです!この懸賞金のことを知らない人も多いと思いますので、SNSを調べていたらバグのことを投稿していて、それをそのまま報告したら200万円もらえる、、、なんてこともあるかもしれませんよ。
参考になったと思ったら、いいね!やフォローをお願いします。
↓ MSの報奨金サイトです。
この記事が気に入ったらサポートをしてみませんか?