Alles rund um Windows

Microsoft erhöht die Prämie für mittelschwere Bugs im Copilot Bounty-Programm

Microsoft bietet Entwicklern, die mittelschwere Sicherheitslücken in seinem KI-Chatbot Copilot aufdecken, bis zu 5.000 US-Dollar an. Damit erweitert das Unternehmen sein.

Sicherheitsprämienprogramm. Entwickler erhalten nun Belohnungen für die Identifizierung von Fehlern, die Ausbeutungen wie Inferenzmanipulation, Code-Injektion und unsachgemäße Zugriffskontrolle ermöglichen.

Das Copilot-Bug-Bounty-Programm wurde im Oktober 2023 eingeführt, um die KI-Funktionen von Bing abzudecken, und im April 2024 um Copilot erweitert. Das Programm lädt Sicherheitsforscher ein, Schwachstellen in den KI-Produkten von Microsoft zu identifizieren, und bietet ihnen dafür je nach Kritikalität Auszahlungen von bis zu 30.000 US-Dollar an. Vor dem 7. Februar 2025 waren Schwachstellen mittleren Schweregrads nicht auszahlungsberechtigt.

Wir sind uns bewusst, dass selbst moderate Sicherheitslücken erhebliche Auswirkungen auf die Sicherheit und Zuverlässigkeit unserer Copilot-Verbraucherprodukte haben können.

Die Erweiterung unseres Kopfgeldprogramms um Copilot spiegelt unser anhaltendes Engagement für die Sicherheit aller Microsoft-Produkte und -Dienstleistungen wider, und wir ermutigen Forscher, uns bei der Identifizierung und Minderung von Schwachstellen zu unterstützen.

Zu den Fehlern mittleren Schweregrads gehören laut Microsoft die Möglichkeit, Rückschlüsse darauf zu ziehen, ob bestimmte Datensätze Teil der Trainingsdaten eines Modells waren, oder der Anteil der Datensätze im Training, die zu einer sensiblen Klasse gehören.

Während die maximale Prämie 5.000 US-Dollar beträgt, kann Microsoft Entwicklern für einige Fehler mittleren Schweregrads nur 250 US-Dollar anbieten, wenn die Qualität der Einreichung niedrig ist. Schwachstellen mit geringem Schweregrad kommen nicht für finanzielle Anreize in Frage.

Zusätzlich zur neuen Prämienstruktur hat Microsoft den Umfang des Copilot Bug Bounty-Programms erweitert und Copilot für WhatsApp, Copilot für Telegram, copilot.microsoft.com und copilot.ai hinzugefügt. Es wurden bereits Einreichungen für Schwachstellen in Copilot für Edge, Copilot für iOS, Android und Desktop-Apps sowie Bing Generative Search akzeptiert.
Das Unternehmen hat außerdem seine Einstufungen des Schweregrads von Sicherheitslücken aktualisiert und das Programm vom Microsoft AI Bounty Program in Microsoft Copilot Bounty Program umbenannt. Es hat auch neue Ressourcen für angehende KI-Fachkräfte eingeführt, die an seinem Zero Day Quest-Hacking-Event teilnehmen möchten, das Tools, Workshops und Zugang zu Microsoft KI-Ingenieuren bietet.

Durch Investitionen in das Wachstum und die Ausbildung von KI-Forschern wollen wir eine Gemeinschaft von Fachleuten aufbauen, die zur Weiterentwicklung der KI-Technologie beitragen und die höchsten Sicherheits- und Innovationsstandards einhalten können.

Microsoft ist möglicherweise besonders besorgt um die Sicherheit seiner KI-Produkte, nachdem die umstrittene Recall-Funktion, die ursprünglich dazu gedacht war, Benutzern das Abrufen vergangener Aktivitäten zu erleichtern, aber aufgrund ihrer Fähigkeit, automatisch Screenshots von ihren Geräten zu erfassen, Datenschutzbedenken aufwarf, genau unter die Lupe genommen wurde. Das Unternehmen erhielt erheblichen Gegenwind wegen potenzieller Sicherheitsrisiken und verzögerte daraufhin die Einführung, indem es zusätzliche Datenschutzkontrollen einführte und es den Benutzern ermöglichte, sich leichter abzumelden.