Google hat sich bereits verpflichtet, freiwillige KI-Verpflichtungen umzusetzen, die man mit Branchenvertretern im Juli im Weißen Haus eingegangen sei. Ein Baustein sei die Ausweitung des Bug-Hunter-Programms. Dazu gibt es nun Einzelheiten.

Die Ausweitung der an die Entdecker von Sicherheitslücken in Google-Programmen auf KI-Systeme ist beschlossene Sache. Der Konzern nennt sechs Bereiche, in denen künftig Prämien für die Aufdeckung von Problemen und Schwachstellen gezahlt werden und auch die Bedingungen für die Auszahlung.

Zu den Kategorien zählen Prompt-Attacken, Training Data Extraction. Modell Manipulationen und Diebstahl, sowie Störeinflüsse und nicht kategorisierte Schwachstellen. Letztere müsse man dann auf ihre Qualifikation als Bug oder Fehlverhalten gemäß den Google-Kriterien abklopfen. Im Beitrag von Google sind die jeweiligen Bedingungen genannt, die zu einer Auszahlung der Prämie führen können, falls der Bug anerkannt wird. Die Höhe der Prämien ist noch nicht definiert.

Der Beitrag Google baut Bug-Hunter-Programm auf KI aus erschien zuerst auf Linux-Magazin.

Das hinter ChatGPT stehende Unternehmen OpenAI hat ein Bug Bounty Programm gestartete. Die Geldprämien hängen laut OpenAI vom Schweregrad und den Auswirkungen der gemeldeten Probleme ab. Die Belohnungen reichen von 200 US-Dollar für weniger schwerwiegende Entdeckungen bis zu 20.000 US-Dollar für außergewöhnliche Entdeckungen.

Das Bug Bounty Programm sei eine Möglichkeit, die wertvollen Erkenntnisse von Sicherheitsforschern anzuerkennen und zu belohnen, die dazu beitragen, unsere Technologie und unser Unternehmen sicher zu halten, schreibt OpenAI.

Das Programm wird mit Bugcrowd als Partner abgewickelt, einer Bug-Bounty-Plattform. Der Melde- und Belohnungsprozess solle damit für alle Teilnehmer möglichst reibungslos funktionieren. Detaillierte Richtlinien und Regeln für die Teilnahme finden Interessierte auf der Bug Bounty Programm Seite von OpenAI. Dort weist OpenAI insbesondere auch darauf hin, dass Probleme, die sich auf den Inhalt von Prompts und Antworten der KI beziehen, nicht in den Geltungsbereich des Programms fallen und nicht belohnt werden, es sei denn, sie haben zusätzliche, direkt nachweisbare Sicherheitsauswirkungen auf einen Dienst, heißt es. Es genügt also nicht, der KI nur eine falsche Antwort zu entlocken, um eine Belohnung zu erhalten.

Der Beitrag OpenAI legt Bug Bounty Programm auf erschien zuerst auf Linux-Magazin.

Mit dem Open Source Software Vulnerability Rewards Program (OSS VRP) hat Google sein Bug-Bounty-Programm auf Sicherheitslücken in den Open-Source-Projekten mit eigener Beteiligung erweitert.

Als Verwalter wichtiger Projekte wie Golang, Angular und Fuchsia zähle Google zu den größten Mitwirkenden und Nutzern von Open Source weltweit, schreibt Francis Perron, Open Source Security Technical Program Manager von Google in einem Blogbeitrag.

Mit der Aufnahme von Googles OSS VRP in das Vulnerability Reward Programs (VRP) könne man nun das Auffinden von Fehlern belohnen, die sich möglicherweise auf das gesamte Open-Source-Ökosystem auswirken können, so der Manager weiter.

Das ursprüngliche VRP-Programm nähere sich seinem 12-jährigen Jubiläum. Im Laufe der Zeit habe man die VRP-Reihe neben eigener Software um Programme für Chrome, Android und andere Bereiche erweitert. Insgesamt seien im Rahmen dieser Programme mehr als 13.000 Einreichungen mit einer Gesamtsumme von über 38 Millionen Dollar belohnt worden, heißt es im Blogbeitrag.

Das Programm bezieht sich laut Google auf alle aktuellen Versionen von Open-Source-Software, die in den öffentlichen GitHub-Repositories von Google gespeichert seien, dazu zählten etwa die Verzeichnisse Google, GoogleAPIs und GoogleCloudPlatform.

Die höchsten Belohnungen sollen zunächst für Sicherheitslücken vergeben werden, die in den sensibelsten Projekten gefunden werden, teilt Google mit. Dazu zähle man Bazel, Angular, Golang, Protokollpuffer und Fuchsia. Diese Liste solle dann erweitert werden. Im Blogbeitrag sind die Teilnahmebedingungen erläutert.

Der Beitrag Google startet Open Source Software Vulnerability Rewards Program erschien zuerst auf Linux-Magazin.