🎬 YouTube Premium 家庭 Plan成員一位 只需
HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
Google推出AI產品漏洞賞金計劃,最高獎金可達30,000美元
Google最新的漏洞賞金計劃,針對旗下人工智能(AI)相關產品,包括Gemini、Google搜尋、AI Studio及Google Workspace,鼓勵安全研究人員及漏洞獵人發掘系統中的安全漏洞與濫用問題,最高可獲得30,000美元獎勵。
在10月7日發表的官方博客中,Google安全工程經理Jason Parsons及Zak Bennett表示,這個全新計劃是現有「濫用漏洞賞金計劃」(Abuse Vulnerability Reward Program,簡稱VRP)的延伸,目標是聚焦於Google產品和服務中「高影響力的濫用問題與安全漏洞」,以提升整體安全防護。
自2023年起,Google已將AI相關問題納入漏洞賞金範圍,研究人員至今已獲得超過43萬美元獎金。此次獨立AI漏洞賞金計劃的推出,期望吸引更多漏洞回報,對Google持續將AI技術整合進其數碼產品線至關重要。
甚麼樣的AI漏洞符合賞金資格?
Google將可接受的漏洞類型分為以下幾大範疇:
– **惡意操作(Rogue actions)**:攻擊者透過間接指令,修改用戶帳戶或資料,如利用Google Home解鎖門鎖的情況。
– **敏感資料竊取**:攻擊導致用戶敏感資料被盜取,例如未經同意下,透過指令注入發送電郵摘要給攻擊者。
– **釣魚攻擊協助**:在Google網站上發現的持續性跨用戶HTML注入,助長釣魚攻擊。
– **模型竊取**:安全漏洞令攻擊者能偷取完整且機密的AI模型參數,例如公開的Google API。
– **上下文操控**:持續操控AI環境,且不需大量用戶互動。
– **存取控制繞過**:攻擊導致從不應被存取的資源中竊取資料。
此外,Google亦會審視其他AI相關的濫用問題,包括未經授權的產品使用及跨用戶拒絕服務攻擊等。
計劃範圍及限制
Google特別指出,某些類型的問題不在此次計劃範圍內,例如AI的「越獄(jailbreak)」、內容相關問題及AI幻覺(hallucinations)等。這些問題雖然研究社群關注,但複現難度高,且多數僅影響用戶個人會話。Google表示會持續評估這些範疇的計劃適用性。
另外,Vertex AI或其他Google Cloud產品的漏洞不包含在此計劃內,應透過Google Cloud VRP系統回報。
獎金發放標準
Google根據漏洞的嚴重程度及新穎性,提供不同金額獎勵。大部分漏洞報告的獎金介乎500至20,000美元不等,例如嚴重的惡意操作漏洞最高可獲10,000美元,存取控制繞過漏洞則最高2,500美元。
若漏洞具備創新性及高品質,Google將提供額外最高10,000美元的獎金,令最高總獎金可達30,000美元。這與Google整體VRP的獎勵架構一致。
Google團隊表示:「我們很高興能推出這個新計劃,也期待研究人員能積極參與。」
—
評論與啟示
Google這次專門針對AI產品推出獨立的漏洞賞金計劃,反映出AI技術在現代數碼生態系統中的重要性與潛在風險。隨著AI功能越來越多地融入日常產品,安全問題不再是傳統軟件漏洞那麼簡單,而是涉及數據隱私、模型保護、用戶行為操控等多面向挑戰。
Google的計劃不僅是激勵外部安全研究者參與,更是一種策略性布局,預防AI濫用可能帶來的社會及商業風險。值得注意的是,他們對於「越獄」及內容問題的謹慎態度,顯示AI安全不僅是技術問題,還涉及倫理和可控性的複雜討論。
對香港及全球科技界而言,這樣的計劃既是機會也是提醒:AI安全需要跨界合作,不能只靠內部團隊,社群的力量不可或缺。同時,獎金制度的透明度和公平性,能夠提升漏洞回報的質量與數量,推動整體行業的安全水平。
未來,隨著AI產品及服務日益普及,其他大型科技公司也可能跟隨Google腳步,設立專門的AI漏洞賞金,形成良性競爭,促使AI安全研究向前邁進,保障用戶權益及市場健康發展。對用戶來說,了解這些安全措施,也有助於提升對AI產品的信任度與警覺性。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
