En un esfuerzo por reforzar la seguridad de sus servicios de IA de Bing, Microsoft ha desvelado un amplio programa de recompensas por fallos. Esta iniciativa ofrecerá importantes incentivos económicos por identificar y notificar vulnerabilidades que puedan comprometer la integridad o la funcionalidad de la IA de Bing. En su blog oficial, Microsoft recalca que el programa es un esfuerzo estratégico para hacer frente a las actividades maliciosas destinadas a alterar el funcionamiento de la IA de Bing, al tiempo que refuerza las medidas de seguridad de las integraciones de Bing impulsadas por la IA en diversas plataformas de Microsoft, como Microsoft Edge, el menú Inicio de Microsoft y la aplicación Skype.
Tipos de vulnerabilidades y estructura de las recompensas
Las vulnerabilidades que sean reproducibles y tengan una calificación de “importante” o “crítica” pueden optar a recompensas que oscilan entre los 2.000 y los 15.000 dólares. Entre los ejemplos de vulnerabilidades admisibles se incluyen los exploits de ingeniería puntual que podrían exponer datos confidenciales almacenados en los modelos de Bing, o las tácticas para eludir las restricciones y el comportamiento del chat o la duración de la sesión. Los informes de alta calidad que se centren en problemas críticos como la manipulación de inferencias, la manipulación de modelos o la revelación de información inferencial recibirán el nivel de recompensa más alto.
Ámbito del programa
El programa de recompensas incluye cualquier integración de Bing impulsada por IA, independientemente del navegador utilizado para acceder a bing.com, dentro de Microsoft Edge, el menú Inicio de Microsoft o la aplicación Skype. Los servicios de Bing impulsados por IA de Microsoft forman parte integral de su suite de productividad de IA Copilot, que combina la GPT-4 de OpenAI con los modelos de base propios de Microsoft para ofrecer experiencias holísticas de IA generativa.
Preocupaciones de seguridad y contexto del programa
Una vulnerabilidad en la IA de Bing podría poner en peligro la exposición de información sensible e incluso socavar los mecanismos de seguridad diseñados para evitar que la IA genere información inexacta o engañosa. Además, el programa establece claramente que cualquier intento de utilizar indebidamente el chat de Bing para ataques de phishing o DDoS no se considerará válido según los términos de la iniciativa.
Programas de recompensas por fallos existentes
El compromiso de Microsoft con la ciberseguridad va más allá de Bing AI, ya que el gigante tecnológico gestiona una serie de programas de recompensas por fallos para sus demás productos y servicios, como Microsoft Teams, Azure y Microsoft 365. Estos programas ofrecen diferentes importes de recompensa, en función de la gravedad y el riesgo asociados a las vulnerabilidades notificadas.
Ilustración: Diario TI via Midjourney