Apple пропонує винагороду $1 мільйон за виявлення вразливостей безпеки в приватному хмарному AI

Оголошення про розширення програми заохочень від Apple для Private Cloud Compute

Суть: Apple заявила, що Private Cloud Compute є найсучаснішою архітектурою безпеки, яку коли-небудь впроваджували для масштабного хмарного обчислення з використанням штучного інтелекту. Компанія сподівається на залучення уваги з боку дослідників безпеки, щоб зміцнити довіру до своєї системи та вдосконалити її заходи безпеки.

Apple анонсувала значне розширення своєї програми заохочень для покращення безпеки нової служби Private Cloud Compute. Ця хмарна служба є розширенням AI-моделі Apple Intelligence та покликана вирішувати більш складні задачі штучного інтелекту, зберігаючи конфіденційність користувачів.

Програма заохочень Apple: Три основні категорії загроз

Програма заохочень буде спрямована на три основні категорії загроз: випадкове розкриття даних, зовнішні зловмисні впливи через запити користувачів та фізичні чи внутрішні вразливості доступу. В першу чергу буде зосереджено увагу на віддаленому виконанні коду, витяганні даних та мережевих атаках.

• Віддалене виконання коду на серверах Private Cloud Compute – до 1 мільйона доларів США за виявлення експлойту.
• Витягування чутливих даних користувачів або поданих запитів – до 250 000 доларів США.
• Доступ до чутливих даних через привілейовану мережу – до 150 000 доларів США.

Додаткові ресурси для дослідників безпеки

Apple надає дослідникам безпеки повний доступ до ресурсів для перевірки та аналізу безпеки та конфіденційності сервісу Private Cloud Compute. Серед них – детальний посібник із безпеки, віртуальне середовище для досліджень (VRE), а також доступ до вихідного коду ключових компонентів на основі обмеженого ліцензійного договору.

Віртуальне середовище для досліджень на комп’ютерах Mac з чіпом Apple Silicon і не менше ніж 16 ГБ пам’яті надає потужні інструменти для перевірки випусків програмного забезпечення PCC, модифікації та налагодження програмного забезпечення для глибшого дослідження.

Проект CloudAttestation та інші компоненти

Apple зробила доступним вихідний код кількох компонентів Private Cloud Compute, включаючи проект CloudAttestation, проект Thimble, демон splunkloggingd і проект srd_tools. Ці компоненти мають важливе значення для реалізації заходів безпеки та конфіденційності PCC.

Нагороди за інші вразливості

Apple заявила, що буде розглядати можливість надання винагород за будь-які вразливості, виявлені з великим впливом, навіть якщо вони не потрапляють у зазначені категорії загроз. Кожен звіт буде оцінюватися за якістю, доказами експлуатації та потенційним впливом на користувачів.