Segurança Digital 24 de abril de 2025 0 Comentários

Microsoft oferece até US$ 30 mil por falhas em IA

Microsoft lança programa de recompensas para vulnerabilidades em IA no Dynamics 365 e Power Platform, com prêmios de até US$ 30.000.

A Microsoft lançou um programa de recompensas que oferece até US$ 30.000 para pesquisadores que identificarem vulnerabilidades críticas em recursos de inteligência artificial (IA) nos produtos Dynamics 365 e Power Platform. A iniciativa visa fortalecer a segurança de softwares empresariais, incentivando hackers éticos a identificar e relatar riscos antes que sejam explorados por cibercriminosos.

Foco em vulnerabilidades específicas de IA

Diferentemente de programas anteriores, este se concentra em vulnerabilidades específicas de IA, como:

Injeção de comandos (Prompt Injection): Técnica onde comandos maliciosos são inseridos para manipular a saída do modelo de IA.
Envenenamento de dados (Data Poisoning): Inserção de dados maliciosos durante o treinamento para comprometer o modelo.
Roubo de modelo (Model Theft): Extração não autorizada de informações do modelo de IA.
Reconstrução de dados de treinamento: Técnicas que visam recuperar dados sensíveis usados no treinamento do modelo.

As maiores recompensas são destinadas a falhas que permitem acesso não autorizado a dados de outros usuários ou execução de ações privilegiadas sem consentimento.

Incentivo à pesquisa ética

A Microsoft incentiva os pesquisadores a utilizarem versões de teste gratuitas de seus serviços, como PowerApps e AI Builder, para identificar vulnerabilidades. Documentação detalhada é fornecida para auxiliar na compreensão dos sistemas testados. Mesmo relatórios que não se qualificam para recompensas financeiras podem ser reconhecidos se resultarem em melhorias de segurança.

Compromisso com a segurança colaborativa

Esta iniciativa faz parte do compromisso mais amplo da Microsoft com a segurança cibernética colaborativa. Com a IA cada vez mais integrada ao software corporativo, a empresa destaca a importância de identificar vulnerabilidades precocemente, evitando violações de segurança.

Referências: