Google расширяет программу «вознаграждения за уязвимости» — искусственный интеллект среди потенциальных угроз
В прошлом году Google выделила около $12 млн на вознаграждения исследователям, которые обнаружат ошибки в программном обеспечении.
Google расширяет свою программу вознаграждений за поиск уязвимостей (VRP), чтобы включить сценарии атак, специфичные для генеративного искусственного интеллекта.
«Мы считаем, что расширение VRP будет стимулировать исследование безопасности искусственного интеллекта и выявит потенциальные проблемы, которые в конечном итоге сделают искусственный интеллект более безопасным для всех», — говорят в Google.
Программа вознаграждения Google предусматривает выплату денежных средств белым хакерам, которые смогут выявить и «ответственно» раскрыть недостатки в программном обеспечении.
Атаки при участии генеративного ИИ в программу добавляют, основываясь на результатах работы новой команды AI Red Team — группы хакеров, имитирующих злоумышленников (начиная от государств и поддерживаемых правительством хакеров до хактивистов и вредоносных инсайдеров), чтобы выявлять слабые места в безопасности технологии.
Недавно команда провела обучение, чтобы определить наибольшие угрозы технологии, стоящей за генеративными продуктами ИИ, такими как ChatGPT и Google Bard. Хакеры обнаружили, что большие языковые модели (или LLM) уязвимы для атак с противоречивыми подсказками, которые могут повлиять на поведение модели. Злоумышленник может использовать этот тип атаки, чтобы создать вредоносный или оскорбительный текст, или получить конфиденциальную информацию.
AI Red Team также предупредили о другом типе атаки, который называется «извлечением учебных данных» и позволяет хакерам реконструировать словесные учебные примеры, чтобы извлечь из данных личную информацию или пароли.
Эти два типа атак теперь входят в VRP от Google вместе с манипуляциями модели и ее кражей. В то же время, техногигант говорит, что не будет предлагать вознаграждения исследователям, которые обнаружат ошибки, связанные с проблемами авторского права, или получением данных, которые реконструируют неконфиденциальную или публичную информацию.
Размер выплаты будет зависеть от серьезности выявленной уязвимости. Исследователи могут заработать $31 337, если найдут атаки внедрения команд и ошибки десериализации в очень конфиденциальных программах, таких как Google Search или Google Play. Если недостатки касаются программ с более низким приоритетом, максимальное вознаграждение составит $5000.
Google говорит, что в 2022 году выплатила исследователям безопасности более $12 миллионов долларов вознаграждения.
Исследователь получил от Google $70 000 за обнаружение возможности обхода блокировки на Android – устройства без ноябрьского патча под угрозой
Источник: Techcrunch