微软在周末宣布,已扩大其微软副驾驶(人工智能)漏洞赏金计划,并提高了对中度严重程度漏洞的赏金金额。为了进一步保护其副驾驶消费级产品免受攻击,这家位于雷德蒙德的公司将更广泛的副驾驶消费级产品和服务纳入了该计划的范围,其中包括适用于电报(Telegram)的副驾驶、适用于 WhatsApp 的副驾驶、copilot.microsoft.com网站以及 copilot.ai 网站。该公司现在还为报告中度严重程度漏洞提供高达 5000 美元的奖励,这些漏洞也会对其副驾驶产品的安全性和可靠性产生重大影响。微软表示:“我们针对中度严重程度的副驾驶漏洞案例推出了新的奖励措施。现在,发现并报告中度严重程度漏洞的研究人员将有资格获得最高 5000 美元的赏金奖励。”“这次扩展为研究人员提供了更多机会,让他们能够为我们副驾驶生态系统的安全做出贡献,同时也帮助我们在更广泛的一系列平台上发现并缓解潜在的漏洞。”该公司的微软副驾驶漏洞赏金计划还会对在以下产品中发现的漏洞的合格提交给予奖励:适用于微软 Edge 浏览器(Windows 系统)的副驾驶(专业版)人工智能体验、微软副驾驶应用程序(iOS 和安卓系统)、Windows 操作系统,以及在bing.com网站的浏览器中托管的必应生成式搜索功能。赏金奖励的范围从低严重程度的跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、网络安全配置错误、跨源访问以及输入验证不当等漏洞的 250 美元,到允许推理操纵的关键漏洞的 30000 美元不等。上个月,微软 365 漏洞赏金计划也进行了扩展,将新的 Viva 产品纳入了针对严重和重要案例的范围,这些产品包括功能访问控制、Glint、学习(Learning)和 Pulse,奖励金额最高可达 27000 美元。在去年于芝加哥举行的 Ignite 年度大会上,微软还通过启动 “零日探索”(Zero Day Quest)活动扩大了其漏洞赏金计划,这是一项黑客活动,提供 400 万美元的奖励,重点关注云产品和人工智能产品及平台。微软为提升所有产品的网络安全防护所做的这些努力,是其 “安全未来倡议”(SFI)的一部分。该倡议是一项全公司范围的网络安全工程行动,于 2023 年 11 月启动,旨在应对美国国土安全部网络安全审查委员会发布的一份严厉报告,该报告称微软的 “安全文化存在不足,需要进行全面改革”。
