今週、Googleは同社のAIシステムにおける脆弱性を発見し報告するセキュリティ研究者向けに、AI脆弱性報奨金プログラムを開始しました。
新しいバグ報奨金プログラムは、Google検索(google.com上)、Geminiアプリ(Web、Android、iOS)、Google Workspaceの主要アプリケーション(Gmail、Drive、Meet、カレンダーなど)を含む、最も注目度の高いAI製品における最も重大な問題に焦点を当てています。
対象となるその他の製品には、AI StudioやJulesなどの高感度なGoogle AI製品のAI機能、Google Workspaceの非コアアプリ、Google製品におけるその他のAI統合も含まれます。
脆弱性の報告に対する報酬は、新規性ボーナス倍率が適用された高品質な個別レポートで最大3万ドルに達し、主要製品で不正な動作を引き起こす可能性のあるセキュリティバグの標準的な報告には最大2万ドルの報奨金が支払われます。
研究者はまた、機密データの流出バグには1万5千ドル、フィッシングの実現やモデル窃盗の問題には最大5千ドルの報酬を得ることができます。
| カテゴリ / VRP製品ティア | フラッグシップ | スタンダード | その他 |
|---|---|---|---|
| S1: 不正な動作 | $20,000 | $15,000 | $10,000 |
| S2: 機密データの流出 | $15,000 | $15,000 | $10,000 |
| A1: フィッシングの実現 | $5,000 | $500 | クレジット |
| A2: モデル窃盗 | $5,000 | $500 | クレジット |
| A3: コンテキスト操作 | $5,000 | $500 | クレジット |
| A4: アクセス制御のバイパス | $2,500 | $250 | クレジット |
| A5: 不正な製品利用 | $1,000 | $100 | クレジット |
| A6: クロスユーザーDoS(サービス拒否) | $500 | $100 | クレジット |
「2023年10月、私たちはAI製品のバグ報告に対するGoogleの報奨基準を発表し、AIシステム特有の問題や脆弱性の第三者による発見と報告を促進するため、Abuse Vulnerability Reward Program(VRP)を拡張しました」とGoogleは述べています。
「GoogleでAIバグバウンティの2年目を迎えるにあたり、私たちが学んだことを共有し、新たに専用のAI脆弱性報奨金プログラムの開始を発表できることを嬉しく思います!」
3月には、同社が2024年にVulnerability Reward Program(VRP)を通じてセキュリティバグを発見・報告した660人の研究者に、約1,200万ドルのバグ報奨金を支払ったことも発表しています。
Googleは、2010年に最初の脆弱性報奨金プログラムが開始されて以来、合計6,500万ドル以上のバグ報奨金を支払っており、昨年の最高報酬は11万ドルを超えました。
その1年前の2023年には、検索大手は製品やサービスのセキュリティ欠陥を責任を持って報告した632人の研究者に1,000万ドルを支払いました。
