Microsoft a annoncé un nouveau programme de primes IA axé sur l’expérience Bing basée sur l’IA, avec des récompenses atteignant 15 000 $.

Avec l’expérience Bing basée sur l’IA comme premier produit concerné par le nouveau programme de bug bounty, les chercheurs en sécurité peuvent soumettre les vulnérabilités trouvées dans la liste suivante de services et produits éligibles :

• Expériences Bing basées sur l’IA sur bing.com dans le navigateur (tous les principaux fournisseurs sont pris en charge, notamment Bing Chat, Bing Chat for Enterprise et Bing Image Creator)
• Intégration de Bing basée sur l’IA dans Microsoft Bord (Windows), y compris Bing Chat pour Entreprise
• Intégration de Bing basée sur l’IA dans l’application Microsoft Start (IOS et Android)
• Intégration de Bing basée sur l’IA dans l’application mobile Skype (IOS et Android)

« Le programme Microsoft AI Bounty invite les chercheurs en sécurité du monde entier à découvrir les vulnérabilités de la nouvelle expérience Bing innovante et basée sur l’IA. Les soumissions qualifiées sont éligibles à des primes allant de 2 000 $ à 15 000 $ US », explique Microsoft sur le site. Site Web du programme de primes IA.

« Les soumissions identifiant des vulnérabilités dans les services en ligne liés à Bing seront prises en compte dans le cadre du programme de primes M365. Toutes les soumissions sont examinées pour déterminer leur éligibilité à la prime, alors ne vous inquiétez pas si vous n’êtes pas sûr de la place de votre soumission. »

Outre les problèmes décrits dans le rapport de Microsoft Classification de la gravité des vulnérabilités pour les systèmes d’IAles chercheurs sont également encouragés à signaler les vulnérabilités qui entraînent :

• Modifier le comportement de chat de Bing au-delà des limites des utilisateurs, c’est-à-dire modifier l’IA d’une manière qui pourrait avoir un impact sur tous les autres utilisateurs.
• Ajuster le comportement de chat de Bing en modifiant la configuration visible du client et/ou du serveur, y compris en modifiant les indicateurs de débogage et de fonctionnalité.
• Contourner les garanties de Bing liées à la mémoire des conversations croisées et à la suppression de l’historique.
• Divulguer les mécanismes et invites internes de Bing, les processus de prise de décision et les informations confidentielles.
• Contourner les limitations et les règles dans les sessions en mode chat de Bing.

La société a également mis en évidence une longue liste de problèmes et de types de vulnérabilités hors de portée, notamment ceux qui n’affecteraient que l’attaquant, certaines attaques par hallucinations, les réponses de chat inexactes ou offensantes, etc.

« Le partenariat avec des chercheurs en sécurité via nos programmes de bug bounty est un élément essentiel de la stratégie globale de Microsoft visant à protéger les clients contre les menaces de sécurité », dit Lynn Miyashita, responsable du programme technique MSRC.

« Nous apprécions notre partenariat avec la communauté mondiale de recherche en sécurité et sommes ravis d’élargir notre champ d’action pour inclure l’expérience Bing basée sur l’IA. »

Dans un récent article de blog faisant le point sur l’année du bounty, Microsoft l’a déclaré payé 13,8 millions de dollars en récompenses à 345 chercheurs en sécurité dans le monde entier qui ont signalé 1 180 vulnérabilités dans 17 programmes de bug bounty différents.

L’année dernière, la société a ajouté Exchange, SharePoint et Skype for Business sur site à son programme de primes aux bogues et a augmenté le nombre maximum de récompenses pour les failles de sécurité à fort impact signalées via le programme Microsoft 365.