Microsoft aumenta ricompense per bug bounty di Copilot AI

Microsoft ha annunciato nel weekend di aver ampliato il suo programma bug bounty Microsoft Copilot (AI) e aumentato i pagamenti per vulnerabilità di gravità moderata. Per proteggere ulteriormente i suoi prodotti consumer Copilot dagli attacchi, Redmond ha aggiunto una gamma più ampia di prodotti e servizi consumer Copilot all'ambito del programma, tra cui Copilot per Telegram, Copilot per WhatsApp, copilot.microsoft.com e copilot.ai.

L'azienda offre ora anche incentivi fino a 5.000 dollari per la segnalazione di vulnerabilità moderate. Anche queste sono in grado di influenzare significativamente la sicurezza e l'affidabilità dei suoi prodotti Copilot. Come affermato dall’azienda di Redmond: "Stiamo introducendo nuovi incentivi per i casi di Copilot di gravità moderata. I ricercatori che identificano e segnalano vulnerabilità di gravità moderata saranno ora idonei per premi bounty fino a $ 5.000. Questa espansione offre ai ricercatori maggiori opportunità di contribuire alla sicurezza del nostro ecosistema Copilot e ci aiuta a identificare e mitigare potenziali vulnerabilità su una gamma più ampia di piattaforme".

Microsoft: premi fino a 27.000 dollari per vulnerabilità critiche di Viva

Il programma di ricompensa bug bounty di Microsoft Copilot premia anche le segnalazioni qualificate per vulnerabilità trovate nelle esperienze AI di Copilot (Pro) in Edge (Windows), nell'applicazione Copilot (iOS e Android), nel sistema operativo Windows e nella ricerca generativa di Bing ospitata su bing.com nel browser. I premi del bounty vanno da 250 dollari per vulnerabilità di bassa gravità. Tra queste vi sono XSS, CSRF, configurazioni errate di sicurezza web, accesso cross-origin e convalida impropria degli input. Possono invece arrivare fino a 30.000 dollari per falle critiche che permettono la manipolazione delle inferenze. Il programma Bounty di Microsoft 365 è stato inoltre ampliato il mese scorso per includere nuovi prodotti Viva per casi critici e importanti, tra cui Feature Access Control, Glint, Learning e Pulse, con premi fino a 27.000 dollari.

Durante la conferenza annuale Ignite dell'anno scorso a Chicago, l’azienda di Redmond ha anche ampliato i suoi programmi bug bounty lanciando Zero Day Quest. Si tratta un evento di hacking con 4 milioni di dollari in ricompense incentrato su prodotti e piattaforme cloud e AI. Gli sforzi per migliorare la sicurezza informatica in tutti i prodotti fanno parte della Secure Future Initiative (SFI). Si tratta di un progetto aziendale avviato a novembre 2023 per rafforzare l'ingegneria della sicurezza informatica. L'iniziativa è nata in risposta a un duro report del Cyber Safety Review Board del Dipartimento di Sicurezza Interna degli Stati Uniti. Questo affermava che la "cultura della sicurezza" di Microsoft era inadeguata e necessitava di una revisione completa.