Google a lansat un program destinat cercetătorilor în securitate care descoperă și raportează vulnerabilități în sistemele sale de inteligență artificială, punând accent pe produsele cu vizibilitate mare și impact semnificativ.
De la primele programe bug bounty din 2010 până în prezent, marile companii tech au adoptat colaborarea cu comunitatea de securitate ca practică frecventă. Noul AI Vulnerability Reward Program de la Google continuă această tradiție: se adresează celor care identifică probleme serioase în Google Search pe google.com, în aplicațiile Gemini (versiunile web, Android și iOS) și în aplicațiile principale din Google Workspace, precum Gmail, Drive, Meet sau Calendar. Sunt vizate și funcționalitățile AI din produse sensibile precum AI Studio și Jules, dar și aplicații non-core din Workspace sau alte integrări AI din portofoliu.
Sistemul de recompense este organizat pe categorii de severitate și tipul produsului afectat. Pentru bug-urile care pot determina acțiuni neautorizate ale sistemului (clasificate S1 Rogue Actions), sumele maxime ajung la 20.000 de dolari pentru produsele de top; rapoarte excepționale, care aduc elemente de noutate, pot primi bonusuri ce ridică recompensa până la 30.000 de dolari. Pentru scurgeri de date sensibile (S2) recompensa maximă pentru produsele de top este de 15.000 de dolari, iar pentru facilitarea atacurilor de phishing sau furtul de modele există plafoane de până la 5.000 de dolari. Alte categorii mai puțin critice, precum manipularea contextului, ocolirea controalelor de acces sau denegarea de serviciu între utilizatori, au plafose mai mici, dar tot atractive.
Tabelul de sume pe niveluri explicitează diferențierea: pentru un incident de tip S1, Flagship primește 20.000 USD, Standard 15.000 USD, Other 10.000 USD; pentru S2, Flagship și Standard primesc 15.000 USD, Other 10.000 USD; pentru A1–A6 plafonul variază, cu A1–A3 la 5.000 USD pentru produsele de top și sume simbolice sau credite pentru celelalte categorii. În esență, fiecare tip de vulnerabilitate are un tarif stabilit, similar unei piețe, dar fără negocieri la fața locului.
Această inițiativă face parte dintr-un demers continuu: în octombrie 2023 Google anunțase deja lărgirea criteriilor de recompensare pentru a include probleme specifice produselor AI, iar acum compania marchează doi ani de bug bounties pentru AI printr-un program dedicat. Datele recente arată amploarea implicării: în martie, Google a comunicat că a acordat aproape 12 milioane de dolari către 660 de cercetători pentru vulnerabilități raportate în 2024, iar suma totală plătită prin bug bounty-uri de la începutul programului atinge 65 de milioane de dolari. Anul trecut, cel mai mare premiu acordat a depășit 110.000 de dolari. În 2023, compania a plătit 10 milioane de dolari către 632 de cercetători.
Programul reflectă două idei frecvent discutate în securitate: produsele AI, din cauza complexității și a integrării lor extinse, pot genera riscuri noi care necesită verificări specializate, iar recompensele financiare rămân un instrument eficient pentru a atrage expertiză externă. Raportarea responsabilă și transparența în gestionarea vulnerabilităților sunt esențiale pentru protejarea utilizatorilor. În același timp, cifrele, 20.000, 15.000, aproape 12 milioane pe un an, ilustrează și nivelul de prioritate pe care platformele mari îl acordă securității AI; reprezintă un semnal pentru cercetători și companii că munca de identificare a slăbiciunilor merită recunoaștere.
Cum crezi că ar trebui echilibrate recompensele și responsabilitatea companiilor când vorbim despre securitatea sistemelor AI?
Fii primul care comentează