Особое внимание уделяется удаленному выполнению кода, извлечению данных и сетевым атакам.
Apple объявила о существенном расширении своей программы вознаграждения за обнаружение ошибок. Компания намерена усилить безопасность своего будущего сервиса Private Cloud Compute, разработанного как расширение для модели ИИ Apple Intelligence. Этот облачный сервис призван решать более сложные задачи искусственного интеллекта, гарантируя конфиденциальность пользовательских данных.
Для поддержки этой инициативы Apple предоставляет исследователям обширные ресурсы для проверки безопасности Private Cloud Compute. Среди них — подробное руководство по архитектуре и мерам безопасности, виртуальная исследовательская среда (VRE), позволяющая анализировать систему на компьютерах Mac, и доступ к исходному коду ключевых компонентов по лицензионному соглашению с ограниченным использованием.
Расширенная программа вознаграждения охватывает три основные категории угроз: случайное раскрытие данных, взлом извне через пользовательские запросы и уязвимости, связанные с физическим или внутренним доступом. Максимальное вознаграждение в 1 миллион долларов получат исследователи, которые смогут обнаружить эксплойты, позволяющие удаленно запускать вредоносный код на серверах Private Cloud Compute. Особое внимание уделяется удаленному выполнению кода, извлечению данных и сетевым атакам.
Apple подчёркивает, что вознаграждение за обнаружение уязвимостей в Private Cloud Compute сопоставимо с вознаграждением за аналогичные уязвимости в iOS, учитывая важность гарантий безопасности и конфиденциальности сервиса. По словам компании, Private Cloud Compute использует самую передовую архитектуру безопасности из когда-либо развернутых для облачных вычислений ИИ в таком масштабе. Привлекая исследователей в области безопасности, Apple стремится укрепить доверие к своей системе и совершенствовать меры защиты.
Также исследователи могут заработать до 250 000 долларов за сообщение об уязвимостях, которые позволяют извлекать конфиденциальную пользовательскую информацию или получать доступ к отправленным запросам. За эксплойты, открывающие доступ к конфиденциальным пользовательским данным из привилегированной сетевой позиции, можно получить до 150 000 долларов.