O Google pagará até US$ 30 mil em recompensas

14/10/2025 mindsecblog Notícias 0

O Google pagará até US$ 30 mil em recompensas para encontrar bugs em seus produtos de IA.

Os produtos do Google incluídos no novo programa de recompensa por bugs de IA incluem Gemini, Search, AI Studio e Workspace.

  • O novo programa concentra-se em vulnerabilidades relacionadas a produtos de IA.

  • As recompensas variam de US$ 500 a US$ 30.000.

  • Tem como objetivo resolver confusões passadas relacionadas a bugs e problemas no escopo.

O Google lançou um novo programa de recompensa por bugs com o objetivo de resolver falhas de segurança e bugs em produtos relacionados à inteligência artificial (IA).

Na segunda-feira, os gerentes de engenharia de segurança do Google, Jason Parsons e Zak Bennett dito em uma postagem de blog que o novo programa, uma extensão do programa existente da gigante da tecnologia Programa de Recompensa por Vulnerabilidade ao Abuso (VRP) incentivará pesquisadores e caçadores de recompensas por bugs a se concentrarem em “problemas de abuso de alto impacto e vulnerabilidades de segurança” em produtos e serviços do Google.

Os pesquisadores ganharam mais de US$ 430 mil desde então 2023, quando as recompensas por bugs do Google se expandiram para incluir problemas relacionados à IA. Agora, espera-se que um programa independente incentive ainda mais relatórios — o que pode ser crucial para a gigante da tecnologia, que continua a integrar IA em seu conjunto de produtos digitais.

O Google separou relatórios potencialmente aceitáveis nas seguintes áreas:

  • Ações desonestas: Ataques que modificam contas ou dados com impacto na segurança. Por exemplo, o uso de um prompt indireto para forçar o Google Home a destrancar uma porta.
  • Roubo de dados confidenciais: Ataques que levam ao roubo de dados confidenciais do usuário. Isso pode incluir injeções imediatas indiretas que enviam resumos de e-mail a um agente de ameaça sem o consentimento do usuário.
  • Habilitação de phishing: Vetores de ataque de phishing em sites do Google que incluem injeções persistentes de HTML entre usuários.
  • Roubo de modelo: Problemas de segurança que podem permitir que invasores roubem parâmetros completos e confidenciais do modelo, como APIs expostas do Google.
  • Manipulação de contexto: Problemas que levam à manipulação persistente de um ambiente de IA sem interação significativa do usuário.
  • Desvio de controle de acesso: Ataques que levam à exfiltração de dados de recursos que não deveriam estar acessíveis.

Além disso, o Google considerará relatórios detalhando questões relacionadas à IA, como uso não autorizado de produtos, negação de serviço entre usuários e outras formas de abuso.

Os produtos incluídos no novo programa de recompensa por bugs incluem Gemini, Google Search, AI Studio e Google Workspace.

Os engenheiros do Google tiveram o cuidado de apontar itens específicos fora do escopo. Isso inclui jailbreaks, problemas baseados em conteúdo e alucinações de IA. A equipe observou no fim do ano passado que, embora algumas dessas áreas sejam de grande interesse para os pesquisadores, pode haver dificuldades em replicar as descobertas. Por exemplo, um jailbreak pode afetar apenas a sessão do próprio usuário.

“A equipe está ciente do interesse da comunidade e continua a reavaliar o escopo do nosso programa em torno dessas questões”, disse o Google.

Além disso, problemas encontrados no Vertex AI ou em outros produtos do Google Cloud não estão no escopo deste programa e devem ser relatados por meio do Google Cloud VRP da empresa.

Os relatórios aceitos pelo Google oferecem diferentes recompensas e incentivos financeiros, com pagamentos para a maioria dos relatórios variando de US$ 500 a US$ 20.000. Por exemplo, uma recompensa por bug descrevendo uma ação desonesta grave pode render ao pesquisador até US$ 10.000, enquanto um desvio de controle de acesso pode pagar até US$ 2.500.

No entanto, mais dinheiro pode ser oferecido dependendo da qualidade dos relatórios e do “novidade” fator de vulnerabilidades relatadas. O novo programa adota a mesma abordagem do VRP mais amplo do Google, e um bônus de até US$ 10.000 — elevando o total para US$ 30.000 — para novos ataques está disponível.

“Estamos entusiasmados por lançar este novo programa e esperamos que nossos valiosos pesquisadores também o sejam!” os engenheiros disseram.

Fonte: ZDNet

Veja também:

 
About mindsecblog 3260 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Sete tendências e dicas de cibersegurança para PMEs

21/11/2024 mindsecblog Notícias 0

Sete tendências e dicas de cibersegurança para PMEs. Os ciberataques são um grande desafio para organizações de todos os tamanhos, mas as pequenas e médias empresas (PMEs) enfrentam ameaças distintas quando se trata de cibersegurança. […]

Artigos

As violações de dados na nuvem estão em alta

19/10/2022 mindsecblog Artigos, Notícias 0

As violações de dados na nuvem estão em alta. Quais são as características comuns? A proteção contra violações de dados requer uma análise detalhada de ataques recentes para correção e prevenção. Os dados continuam a impulsionar […]

Notícias

Maior ataque ao sistema financeiro revela urgência no treinamento

07/07/2025 mindsecblog Notícias 0

Maior ataque ao sistema financeiro revela urgência no treinamento. Maior ataque hacker ao sistema financeiro revela urgência no treinamento em cibersegurança Executivo da Unentel alerta sobre a falha crítica de empresas e defende que a […]

Be the first to comment

Deixe sua opinião!