Jagd auf Sicherheitslücken: Google erweitert Bug-Bounty-Programm um KI-Produkte
Mit seinem ausgebauten Bug-Bounty-Programm will Google vor allem die Sicherheit generativer KI-Produkte verbessern.
(Bild: TierneyMJ/Shutterstock.com)
Ab sofort können Sicherheitsforscher verschiedene KI-Bereiche von Google untersuchen und unter bestimmten Voraussetzungen Prämien für gefundene Sicherheitslücken kassieren. Das erweiterte Bug-Bounty-Programm umfasst neben generativer KI auch KI-Produkte auf Open-Source-Basis, um mögliche Software-Lieferketten-Attacken vorzubeugen.
Die Bereiche
Generative KI-Modelle lernen Muster aus Trainingsdaten, um daraus etwa selbst Bilder zu erzeugen. Wenn Angreifer solche Daten manipulieren, kann das zu ungewollten, die IT-Sicherheit gefährdenden Ergebnissen führen, warnt Google in einem Beitrag. Dementsprechend sei es für die Zukunft wichtig, diesen Bereichen effektiver abzusichern.
Als zweiten wichtigen Punkt nennen sie den besseren Schutz von KI-Tools auf Open-Source-Basis. Schleicht sich in so einem Tool etwa Schadcode ein, werden alle darauf setzenden Softwareprodukte verwundbar. In so einem Fall spricht man von einer Software-Lieferketten-Attacke. Um dem entgegenzuwirken, hat Google bereits sein Secure AI Framework veröffentlicht und mit weiteren Partnern aus der Industrie ein Paper mit freiwilligen KI-Verpflichtungen veröffentlicht. Nun bauen sie diesen Ansatz über das erweiterte Bug-Bounty-Programm aus.
Die Regeln
Für die erfolgreiche Teilnahme am Programm hat Goole die Art der akzeptierten Schwachstellen auf einer Website definiert. Etwa bei Prompt-Attacken sind von Angreifern injizierte und vom Opfer unbemerkte Befehle zulässig. Die Erzeugung etwa von sachlich falschen Inhalten in einer Session fällt nicht darunter. Weitere Fälle listet Google auf der Website auf.
Wie hoch die Prämien für gefundene KI-Lücken ausfallen, ist derzeit nicht bekannt. In anderen Bereichen gibt es etwa für eine Remote-Code-Execution-Lücke bis zu 30.000 US-Dollar.
(des)
