Microsoft vous invite cordialement à essayer de faire basculer ses nouveaux outils de recherche Bing basés sur l’IA dans un effondrement existentiel. Et cela vous paiera jusqu’à 15 000 $ pour vos ennuis. Eh bien, ce sera le cas si vous parvenez à appâter AI Bing de la bonne manière.
Oui, AI Bing a rejoint le programme de bug bounty de Microsoft (via Bleeping Computer). À proprement parler, le programme de primes s’adresse aux professionnels de la sécurité, l’idée étant qu’ils découvrent diverses failles et problèmes de sécurité avec les produits et services Microsoft, les signalent à Microsoft et reçoivent une récompense. Pour obtenir la totalité des 15 000 $, vous devez soumettre un rapport détaillé qui répond à une très longue liste d’exigences de soumission.
Vous devrez identifier le type de vulnérabilité et l’environnement affecté, y compris une chaîne BuildLabEx, produire un rapport de reproduction de vulnérabilité, une preuve de concept et bien plus encore. Plus précisément, Microsoft recherche des vulnérabilités qui répondent aux définitions suivantes :
- Influencer et modifier le comportement de chat de Bing au-delà des limites des utilisateurs, c’est-à-dire modifier l’IA de manière à avoir un impact sur tous les autres utilisateurs.
- Modifier le comportement de discussion de Bing en ajustant la configuration visible du client et/ou du serveur, comme la définition d’indicateurs de débogage, la modification des indicateurs de fonctionnalité, etc.
- Briser les protections de la mémoire des conversations croisées et la suppression de l’historique de Bing.
- Révéler le fonctionnement interne et les invites, les processus de prise de décision et les informations confidentielles de Bing.
- Contourner les limites et/ou les restrictions/règles des sessions du mode chat de Bing.
Donc, oui, cela implique bien plus que d’appâter Bing avec des questions déroutantes jusqu’à ce qu’il s’effondre existentiellement ou commence à vous éclairer sur la date. Néanmoins, le nouveau programme couvre à peu près tous les services Bing basés sur l’IA :
- Expériences Bing basées sur l’IA sur bing.com dans le navigateur (tous les principaux fournisseurs sont pris en charge, notamment Bing Chat, Bing Chat for Enterprise et Bing Image Creator)
- Intégration de Bing basée sur l’IA dans Microsoft Edge (Windows), y compris Bing Chat for Enterprise
- Intégration de Bing basée sur l’IA dans l’application Microsoft Start (iOS et Android)
- Intégration de Bing basée sur l’IA dans l’application mobile Skype (iOS et Android)
Donc, vous disposez au moins de nombreux vecteurs d’attaque sur lesquels vous appuyer. De plus, au cours de l’année précédant juin, Microsoft affirme avoir versé plus de 13 millions de dollars en récompenses de bug bounty, dont un paiement individuel de 200 000 dollars. Quelqu’un coche donc toutes les cases de sécurité de Microsoft. Bonne chance!