Новини Софт 26.10.2023 о 17:42 comment views icon

Google розширює програму «‎винагород за вразливості» — штучний інтелект серед потенційних загроз

author avatar
https://itc.ua/wp-content/uploads/2022/09/Katya-96x96.jpg *** https://itc.ua/wp-content/uploads/2022/09/Katya-96x96.jpg *** https://itc.ua/wp-content/uploads/2022/09/Katya-96x96.jpg

Катерина Даньшина

Авторка новин

Торік Google виділила близько $12 млн на винагороди дослідникам, які виявлять помилки у програмному забезпеченні.

Google розширює свою програму винагород за пошук вразливостей (VRP), щоб включити сценарії атак, специфічні для генеративного штучного інтелекту.

«Ми вважаємо, що розширення VRP стимулюватиме дослідження безпеки штучного інтелекту та виявить потенційні проблеми, які зрештою зроблять штучний інтелект безпечнішим для всіх», — кажуть у Google.

Програма винагород Google передбачає виплату грошових коштів білим хакерам, які зможуть виявити та «‎відповідально» розкрити недоліки у програмному забезпеченні.

Атаки за участі генеративного ШІ у програму додають, базуючись на результатах новоствореної команди AI Red Team — групи хакерів, які імітують зловмисників (починаючи від держав та підтримуваних урядом хакерів до хактивістів і зловмисних інсайдерів), щоб виявляти слабкі місця в безпеці технології.

Нещодавно команда провела навчання, щоб визначити найбільші загрози технології, що стоїть за генеративними продуктами ШІ, такими як ChatGPT і Google Bard. Хакери виявили, що великі мовні моделі (або LLM) вразливі до атак з суперечливими підказками, які можуть вплинути на поведінку моделі. Зловмисник може використати цей тип атаки, щоб створити шкідливий або образливий текст чи отримати конфіденційну інформацію.

AI Red Team також попередили про інший тип атаки, який називається «‎витягом навчальних даних» і дозволяє хакерам реконструювати словесні навчальні приклади, щоб витягти з даних особисту інформацію або паролі.

Онлайн-курс "Управління ІТ-командами" від Laba.
Прокачайте свої soft- і hard-скіли в управлінні кількома IT-командами, отримайте практичні стратегії та інструменти ефективного team-ліда.
Програма курсу і реєстрація

Ці два типи атак тепер входять до VRP від ​​Google, разом з маніпуляціями моделі та її крадіжкою. Водночас техногігант каже, що не пропонуватиме винагороди дослідникам, які виявлять помилки, пов’язані з проблемами авторського права, або вилученням даних, які реконструюють неконфіденційну або публічну інформацію.

Розмір виплати залежатиме від серйозності виявленої вразливості. Наразі дослідники можуть заробити $31 337, якщо знайдуть атаки впровадження команд і помилки десеріалізації в дуже конфіденційних програмах, таких як Google Search або Google Play. Якщо недоліки стосуються програм із нижчим пріоритетом, максимальна винагорода становитиме $5000.

Google каже, що у 2022 році виплатила дослідникам безпеки понад $12 мільйонів доларів винагороди.

Дослідник отримав від Google $70,000 за виявлення можливості обходу блокування на Android – пристрої без листопадового патчу під загрозою

Онлайн-курс "Управління ІТ-командами" від Laba.
Прокачайте свої soft- і hard-скіли в управлінні кількома IT-командами, отримайте практичні стратегії та інструменти ефективного team-ліда.
Програма курсу і реєстрація

Джерело: Techcrunch


Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам:

Надіслати