Microsoft предлагает $4 миллиона за уязвимости в AI и облачных технологиях — как подать заявку на участие

Microsoft запускает конкурс на выявление уязвимостей

Хакеры и исследователи безопасности, которые обнаружат уязвимости в продуктах Microsoft, могут получить часть награды в размере $4 миллионов за нахождение ошибок. В этот вторник компания анонсировала новое мероприятие, называемое Zero Day Quest. Это событие, обладающее статусом крупнейшего в своем роде, пригласит ведущих исследователей для обнаружения и сообщения о высокозначительных уязвимостях в системе безопасности.

Что такое Zero Day Quest?

• Мероприятие пройдет в 2025 году на кампусе Microsoft в Редмонде, штат Вашингтон.
• Приглашены будут 10 лучших исследователей по результатам ежегодных лидербордов Azure, Dynamics и Office 2024 года.
• Дополнительно 45 исследователей будут отобраны на основе качества их результатов в исследовательском конкурсе.

Приглашенные участники получат:

• Обратный билет в эконом-классе.
• Пятиночную гостиницу.
• Транспорт между аэропортом и отелем.
• Возможность выиграть крупную награду за ошибки.

Награды за уязвимости

С $4 миллиона, готовыми к распределению, Microsoft вознаградит исследователей, которые обнаружат уязвимости в следующих областях:

• Критическая и важная степень серьезности — удаленное выполнение кода.
• Критическая и важная степень серьезности — повышение привилегий.
• Сценарии высоких последствий в рамках программы Azure Bounty.
• Сценарии высоких последствий в рамках программы Microsoft Dynamics 365 и Power Platform Bounty.
• Сценарии высоких последствий в рамках программы M365 Bounty.

Кроме того, Microsoft предложит участникам, соответствующим условиям, возможность сотрудничества с инженерами и экспертами по безопасности компании.

Двойные награды для AI Bounty Program

Для улучшения безопасности ИИ, начиная с сегодняшнего дня, будут предложены двойные награды в программе AI Bounty. Том Галлахер, вице-президент инженерного отдела Microsoft Security Response Center, заявил в блоге:

«Мы также предоставим исследователям прямой доступ к инженерам Microsoft, которые сосредоточены на разработке безопасных решений ИИ, и нашей AI Red Team. Эта уникальная возможность позволит участникам повысить свои навыки с помощью современных инструментов и технологий.»

Как квалифицироваться

Что нужно для того, чтобы получить квалификацию? Цель программы наград — найти важные уязвимости в безопасности, которые непосредственно влияют на пользователей Microsoft. Необходимо:

1. Обнаружить уязвимость, ранее не сообщенную и не известную Microsoft.
2. Уязвимость должна иметь критическую или важную степень серьезности и быть воспроизводимой.
3. Предоставить четкие шаги в письме или видео, показывающие инженерам Microsoft, как воспроизвести и исправить ошибку.

Дополнительные ресурсы

Перед тем, как приступить к исследованию, новичкам и всем заинтересованным стоит посетить центр ресурсов MSRC для исследователей, чтобы узнать, как отправлять сведения о уязвимостях Microsoft.