このページの本文へ

マイクロソフト、Bing AIの脆弱性見つけたら最大1万5000ドルの報奨金プログラム

2023年10月17日 13時30分更新

文● 田口和裕

  • この記事をはてなブックマークに追加
  • 本文印刷

 マイクロソフトは10月12日(現地時間)、世界中のセキュリティ研究者を対象に、AIを搭載したBing関連オンラインサービスの脆弱性を発見することを目的とした「Microsoft AI Bounty Program(AI報奨金プログラム)」を開始した。具体的なセキュリティ問題を示す的確な報告を提供した研究者には2000~1万5000米ドル(およそ30万〜224万円)の報奨金が支払われる。

報酬額は重大性・影響度・レポートの品質に基づいて決定

 提供された情報が以下のすべてに当てはまる場合に報奨金の対象となる。

・マイクロソフトがこれまで知らなかった、AIを搭載したBing独自の脆弱性を特定する。
・マイクロソフトの「AI脆弱性分類システム(Microsoft Vulnerability Severity Classification for AI SystemsAI)」で定義されている「クリティカル(Critical)」または「ハイ(High)」の深刻度の脆弱性を実証する。
・文書またはビデオ形式で文書化された、明確で再現可能な手順を含む。
・エンジニアが脆弱性を迅速に再現し、理解し、解決するために十分な情報を提供する。

報奨金チャート

 報奨金は マイクロソフト独自の裁量により、脆弱性の重大性と影響度、および提出物の品質に基づいて上記のように決定される。

 対象となる脆弱性は脆弱性分類システムにより定義された問題に加え、下記の攻撃が含まれる。

・他のすべてのユーザーに影響を与える方法でAIを変更すること。
・デバッグフラグの設定、機能フラグの変更など、クライアントおよびサーバーの目に見えるコンフィギュレーションを調整することによるBingのチャット動作の変更。
・Bingの相互会話メモリ保護や履歴削除を破ること。
・Bingの内部構造やプロンプト、意思決定プロセス、機密情報の暴露。
・Bingのチャットモードのセッション制限および/または制限/規則を回避すること。

 なお、提出されたレポートが複数の報奨金プログラムの対象となる可能性がある場合、1つの報奨金プログラムから最高額の報奨金が授与される。また、賞の対象とならないレポートを提供した研究者も、それが脆弱性の修正につながった場合、公表される可能性があるという。

カテゴリートップへ

ピックアップ