Googleは新たなAI脆弱性報奨金プログラム(VRP)を開始し、同社のAI製品で発見されたバグに対して最大3万ドルの基本報酬を提供しています。
このバグ報奨金プログラムは、これまでGoogleのAbuse VRPで扱われていたAI関連の問題を新しいAI VRPに移行することで、研究者による報告プロセスを簡素化することを目的としています。
Googleが10月6日に公開したブログによると、Abuse VRPプログラムが開始されて以来、バグハンターはAI製品関連の報酬として43万ドル以上を獲得しています。
AI VRPの最高基本報酬は、ハイティアのAI製品の欠陥に対して2万ドルです。他のVRPで使用されているものと同じ報告倍率が適用されるため、1件の問題で最大3万ドルが支払われる可能性があります。
Googleは、AI関連の問題を、大規模言語モデル(LLM)やその他の生成AI(GenAI)システムとのやり取り、例えば自然言語でのやり取りが、脆弱性や悪用問題の本質的な部分である場合と定義しています。
同社は、悪意のある行動、機密データの流出、フィッシングの助長、モデルの盗難などを含むがこれらに限定されない、複数の該当する脆弱性を明示しています。
報告は報告者によって検証され、対象範囲内の明確な脅威、リスク、または脆弱性を平易な言葉で示す必要があると同社は述べています。
検索、Gemini、Workspaceなどの主力製品も対象に
AI VRPの対象製品には、Google検索、Geminiアプリ、Gmail、Drive、Sheets、CalendarなどのGoogle Workspaceアプリケーションが含まれます。これらはGoogleの主力製品とされ、最高額の報酬が提供されます。
AI VRPは、Abuse VRPに参加した研究者からのフィードバックをもとに開発されました。
AI報酬の対象範囲を明確にするとともに、Googleは悪用およびセキュリティ問題のための単一の報酬テーブルを作成しました。
今後は、統一された報酬パネルがすべての報告されたセキュリティ問題を審査し、悪用およびセキュリティテーブルの中で可能な限り最高の報酬を支払います。
「これらの変更が、価値ある研究者の皆様が最も影響力の大きい(そして最も高額な報酬の!)ターゲットに集中する助けになることを願っています」と同社のブログは述べています。
プロンプトインジェクション、ジェイルブレイク、アライメント問題はAI製品にとって依然として課題ですが、これらの不具合はAI VRPの対象外となります。
Googleはこれらの問題を「非常に重要」と考えているものの、VRPがコンテンツ関連の問題に対処するための適切な形式ではないと考えています。
その代わりに、同社は研究者に対し、コンテンツベースの問題を報告する際にはGoogleのAI製品内機能を利用するよう推奨しています。
報酬額はGoogleのブログで明記されており、現金での受け取りを希望しない場合は、選択した慈善団体への寄付を選ぶこともできます。Googleはこの寄付額を2倍にするとしています。
12か月後に未請求の報酬は、Googleが選定した慈善団体に寄付されます。
翻訳元: https://www.infosecurity-magazine.com/news/google-launches-ai-bug-bounty/
