Microsoftは週末、Microsoft Copilot(AI)バグ報奨金プログラムを拡大し、中程度の深刻度の脆弱性に対する報奨金を増額したと発表した。
攻撃からCopilotコンシューマー製品をさらに保護するため、レドモンドはCopilot for Telegram、Copilot for WhatsApp、copilot.microsoft.com、copilot.aiなど、より広範なCopilotコンシューマー製品およびサービスをプログラムの対象に加えた。
また、Copilot製品のセキュリティと信頼性に大きな影響を与える可能性のある中程度の脆弱性を報告した場合、最大5,000ドルのインセンティブを提供する。
「中程度の深刻度のCopilotケースに対する新たなインセンティブを導入します。中程度の深刻度の脆弱性を特定して報告した研究者は、最高5,000ドルの報奨金を受け取ることができるようになります。
「この拡大により、研究者はCopilotエコシステムのセキュリティに貢献する機会が増え、より幅広いプラットフォームで潜在的な脆弱性を特定し、緩和することができます。
同社のMicrosoft Copilot報奨金プログラムは、Microsoft Edge(Windows)のCopilot(Pro)AIエクスペリエンス、Microsoft Copilotアプリケーション(iOSおよびAndroid)、Windows OS、およびブラウザのbing.comでホストされているBingジェネレーティブ検索で発見された脆弱性についても、適格な提出に対して報奨金を支払う。
報奨金は、深刻度の低いクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、ウェブセキュリティの設定ミス、クロスオリジンアクセス、不適切な入力バリデーションのバグに対する250ドルから、推論操作を可能にする重大な欠陥に対する3万ドルまでの範囲で授与される。
また、Microsoft 365 Bounty Programは先月拡大され、Feature Access Control、Glint、Learning、Pulseを含む、CriticalおよびImportantケースに対する新しいViva製品が追加され、最高27,000ドルの賞金が授与された。
昨年シカゴで開催された年次会議Igniteの期間中、マイクロソフトは、クラウドとAI製品およびプラットフォームに焦点を当てた400万ドルの報酬を獲得できるハッキングイベントZero Day Questを開始し、バグ報奨金プログラムを拡大した。
すべての製品でサイバーセキュリティ保護を強化する取り組みは、セキュア・フューチャー・イニシアチブ(SFI)の一環であり、米国土安全保障省のサイバー安全審査委員会が発表したマイクロソフトの「セキュリティ文化は不十分であり、見直しが必要」との厳しい報告書を前に、2023年11月に開始した全社的なサイバーセキュリティエンジニアリングの取り組みである。
Comments