Có một sự thật là cho dù các lập trình viên giỏi như thế nào và thực hiện bao nhiêu thử nghiệm đi chăng nữa, phần mềm của họ vẫn sẽ luôn tồn tại lỗi dù nhiều hay ít. Đó là lý do tại sao các công ty công nghệ lớn thường kêu gọi sự giúp sức từ các chuyên gia bảo mật độc lập để tìm ra lỗ hổng trên sản phẩm của mình, và báo cáo chúng thông qua các chương trình trả tiền thưởng phát hiện lỗi chính thức.
Microsoft vừa công bố một chương trình tiền thưởng lỗi mới, khuyến khích các nhà phát triển, các nhà nghiên cứu bảo mật trên toàn thế giới cùng tìm kiếm mọi lỗ khổng tiềm năng trong các ứng dụng và dịch vụ có tích hợp Bing AI của Microsoft. Đổi lại, họ sẽ nhận được những khoản thù lao tương ứng tùy theo mức độ phức tạp và nghiêm trọng của lỗ hổng.
Trong một bài đăng trên trang Microsoft Security Response Center, công ty đã phác thảo các dịch vụ AI cụ thể sẽ là một phần của chương trình tiền thưởng lỗi mới, bao gồm:
- Trải nghiệm Bing AI trên bing.com trong trình duyệt (bao gồm tất cả các dịch vụ chính như Bing Chat, Bing Chat dành cho doanh nghiệp và Bing Image Creator)
- Bing AI trong Microsoft Edge (Windows), bao gồm Bing Chat dành cho doanh nghiệp
- Bing AI trong ứng dụng Microsoft Start (iOS và Android)
- Bing AI trong ứng dụng Skype Mobile (iOS và Android)
Microsoft cho biết chương trình này là kết quả của một "sự đầu tư và học hỏi mang tinh thần cầu thị” của công ty. Thông qua đó, Microsoft muốn phân loại mức độ nghiêm trọng của lỗ hổng bảo mật trong các dịch vụ dựa trên trí tuệ nhân tạo của công ty, góp phần giải quyết những thách thức chung trong nghiên cứu bảo mật AI.
Về cơ bản, các nhà phát triển phải báo cáo một lỗi chưa từng được phát hiện, ghi nhận cho Microsoft, đi kèm với đáng giá tương quan về mức độ nghiêm trọng của nó. Ngoài ra, họ cũng phải chỉ ra các bước cụ thể trong quá trình phát hiện lỗi, và có thể tái tạo lại nó.
Mức tiền thưởng sẽ dựa trên mức độ nghiêm trọng và chất lượng báo cáo của nhà phát triển, sẽ dao động từ 2.000 USD đến 15.000 USD, thậm chí cao hơn nếu lỗ hổng được tìm thấy có sự ảnh hưởng đặc biệt.
Nhìn chung, chương trình thưởng tiền cho việc phát hiện lỗi bảo mật là một ý tưởng tuyệt vời, góp phần giúp nhà cung cấp dịch vụ tận dụng nguồn lực từ chính cộng đồng để hoàn thiện các sản phẩm của mình. Đây là một kiểu hợp tác đôi bên cùng có lợi, giúp thúc đẩy các cá nhân cũng như nhóm hacker không chỉ tìm ra được lỗ hổng bảo mật, mà còn tiết lộ cách thức khai thác hoặc khắc phục các lỗ hổng này một cách đúng đắn, thay vì lợi dụng chúng để trục lợi cá nhân, vi phạm pháp luật hay tệ hơn là rao bán cho các tổ chức đen. Nhìn chung, chi phí bỏ ra trong việc khen thưởng các nhà nghiên cứu bảo mật thường chẳng là gì so với thiệt hại cũng như số tiền phải bỏ ra để khắc phục hậu quả mà lỗ hổng đó gây ra.