微软周二(11/19)发布黑客帝国竞赛,邀请全球安全研究人员提交有关微软AI、Microsoft Azure、Microsoft Identity、M365、Microsoft Dynamics 365及Power Platform等服务的安全漏洞研究,并提供50%-100%增幅的漏洞奖励,活动期间为11月19日至明年的1月19日。前45名的研究人员还会获邀参加,明年于微软华盛顿总部举行的实体黑客活动(Onsite Hacking Event)。
其中,所有有关AI安全漏洞的奖金都是加倍的,涵盖推论操纵、模型操纵或是推论资讯披露之各种等级的安全漏洞,例如提交高品质的重大漏洞报告可得到的奖金,从原本的1.5万美元增加到3万美元,除了AI之外,其他类别的奖金也都有50%的涨幅。
微软也列出该研究挑战赛中被禁止的行为,包括访问不完全属于自己的数据;在研究服务器端执行漏洞时,不得超出概念性验证范围;不得执行任何类型的服务阻断测试;禁止会产生大流量的自动化测试;使用服务时不得违反微软服务条款。此外,该活动仅限于微软线上服务的技术漏洞,因此微软也禁止研究人员企图对他们(包括微软员工)进行网络钓鱼等社交工程的攻击行动。
在Zero Day Quest竞赛中,所获得的奖金位于前45名的安全研究人员,将可获邀参与微软于明年举行的Onsite Hacking Event现场活动,得以参与Onsite Hacking Event的,还包括2024年在Azure、Dynamics和Office漏洞挖掘排行榜上前10名的研究人员。微软将提供价值5,000美元的往返交通及5晚饭店。
微软安全回应中心(Microsoft Security Response Center,MSRC)工程副总裁Tom Gallagher表示,该活动不仅仅是为了寻找漏洞,也能强化MSRC、产品团队及外部研究人员之间的关系,提高安全门槛。另一方面,微软也鼓励开发人员在漏洞缓解后,于微软的支持下通过博客、播客或视频公开讨论其发现。
