聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌表示,这项新的漏洞报告计划将奖励从生成式AI中找到漏洞的研究人员,解决多种问题如不公平的偏见、幻觉以及模型操控。
谷歌指出,漏洞报告应该详述可导致提示注入、数据泄露、模型行为篡改、安全控制分类不当以及机密/专有模型确切架构或权重的提取等。
谷歌指出,安全研究员如能在受AI驱动的工具中发现其它漏洞或行为可导致合法的安全或滥用问题,则也可报告。谷歌解释称,“我们提出的范围旨在便于测试传统的安全漏洞以及特有的AI系统风险。值得注意的是,漏洞奖励金额取决于共计场景的严重性以及受影响的目标类型。”
为了提升AI的安全性,谷歌已引入AI安全框架(SAIF),旨在确保“驱动机器学习的关键供应链组件的安全”。
谷歌推出模型签名和测试验证的首个原型,它利用 Sigstore 和 SLSA 来验证软件身份并提升供应链弹性。该计划旨在提升开发生命周期中机器学习供应链的透明度,以缓解供应链攻击数量不断增长的趋势。
谷歌提到,“基于开发生命周期与威胁向量之间的相似性,我们提议将SLSA和 Sigstore 的供应链解决方案也应用到机器学习模型中,保护这些模型免遭供应链攻击。”
另外,谷歌还与Anthropic、微软和OpenAI共同宣布创建1000万美元的AI安全资金,提升AI安全领域的研究。
https://www.securityweek.com/google-announces-bug-bounty-program-and-other-initiatives-to-secure-ai/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~