- Googleが新たなAI特化型プログラムでVRPを拡大
- 優れた報告には最大3万ドルの報酬
- 幻覚などのコンテンツ関連問題はVRPの対象外
Googleは、AIツールにおけるセキュリティ問題やバグの発見に注力する研究者向けに、新たなAI脆弱性報奨金プログラム(VRP)を発表しました。
このニュースは、GoogleがAbuse VRPを拡張してから約2年後に発表されたもので、セキュリティエンジニアリングマネージャーのJason Parsons氏とZak Bennett氏は「GoogleとAI研究者との協力にとって大きな成功だった」と述べています。
このプログラムの開始以来、GoogleはAI製品に関するバグハンターに対して43万ドル以上の報酬を授与しており、今後の機会の大きさと、ますます接続されAI化が進む世界でバグを排除する重要性を強調しています。
Google AI VRP
Parsons氏とBennett氏は「AI報奨金の対象範囲が常にはっきりしていなかった」ことや「AI関連の悪用問題への対処方法について混乱があった」と認めており、今回のアップデートに至りました。
AI VRPは、S1とS2、そしてA1からA6までの合計8つのカテゴリーで構成されています。最も深刻なS1は「被害者のアカウントやデータの状態を明確なセキュリティ影響をもって変更する攻撃」と説明されています。他にも、データの持ち出し、サービス拒否、プロンプトインジェクションなどの脆弱性が含まれます。
バグハンターはAI VRPで最大2万ドルを獲得でき、報告の質や新規性によっては最大3万ドルまで報酬が増額される可能性があります。Google検索、Geminiアプリ、Google Workspaceなどの主力製品は最高額の報酬対象です。
AI Studio、Jules、非コアのGoogle Workspaceアプリケーションなどは下位のカテゴリーとなります。
セキュリティエンジニアリングマネージャーはまた、投稿を通じて、セキュリティ/悪用バグと、幻覚や著作権問題などのコンテンツ関連問題との違いを強調しており、後者はVRPの対象外であるとしています。
「どうぞ、脱獄やアラインメントの問題など、コンテンツに関する問題も引き続きご報告ください。ただし、これらはVRPではなく、製品内フィードバックからご報告いただくようお願いします」とGoogleは述べています。
