Jagd auf Sicherheitslücken: Google erweitert Bug-Bounty-Programm um KI-Produkte
Mit seinem ausgebauten Bug-Bounty-Programm will Google vor allem die Sicherheit generativer KI-Produkte verbessern.
(Bild: TierneyMJ/Shutterstock.com)
Ab sofort können Sicherheitsforscher verschiedene KI-Bereiche von Google untersuchen und unter bestimmten Voraussetzungen Prämien für gefundene Sicherheitslücken kassieren. Das erweiterte Bug-Bounty-Programm umfasst neben generativer KI auch KI-Produkte auf Open-Source-Basis, um möglichen Software-Lieferketten-Attacken vorzubeugen.
Die Bereiche
Generative KI-Modelle lernen Muster aus Trainingsdaten, um daraus etwa selbst Bilder zu erzeugen. Wenn Angreifer solche Daten manipulieren, kann das zu ungewollten, die IT-Sicherheit gefährdenden Ergebnissen führen, warnt Google in einem Beitrag. Dementsprechend sei es für die Zukunft wichtig, diesen Bereichen effektiver abzusichern.
Als zweiten wichtigen Punkt nennt der Datenkonzern den besseren Schutz von KI-Tools auf Open-Source-Basis. Schleicht sich in so einem Werkzeug Schadcode ein, werden alle darauf setzenden Softwareprodukte verwundbar. In so einem Fall spricht man von einer Software-Lieferketten-Attacke. Um dem entgegenzuwirken, hat Google bereits sein Secure AI Framework veröffentlicht und mit weiteren Partnern aus der Branche ein Paper mit freiwilligen KI-Verpflichtungen veröffentlicht. Nun bauen sie diesen Ansatz über das erweiterte Bug-Bounty-Programm aus.
Die Regeln
Für die erfolgreiche Teilnahme am Programm hat Google die Art der akzeptierten Schwachstellen definiert. Etwa bei Prompt-Attacken sind von Angreifern injizierte und vom Opfer unbemerkte Befehle zulässig. Die Erzeugung von sachlich falschen Inhalten in einer Session fällt nicht darunter. Weitere Fälle listet Google auf der Website auf.
Wie hoch die Prämien für gefundene KI-Lücken ausfallen, ist derzeit nicht bekannt. In anderen Bereichen gibt es für eine Remote-Code-Execution-Lücke bis zu 30.000 US-Dollar.
(des)
