Apple thưởng 1 triệu USD cho việc phát hiện lỗ hổng bảo mật trong private AI cloud

Apple cho biết Private Cloud Compute là kiến trúc bảo mật tiên tiến nhất từng được triển khai cho tính toán AI trên đám mây quy mô lớn. Bằng cách khuyến khích sự giám sát từ cộng đồng nghiên cứu an ninh, Cupertino mong muốn xây dựng lòng tin vào hệ thống của mình và nâng cao các biện pháp bảo mật.

Apple đã công bố mở rộng đáng kể chương trình thưởng phát hiện lỗi nhằm nâng cao bảo mật cho dịch vụ Private Cloud Compute sắp ra mắt, được thiết kế như một phần mở rộng của mô hình AI trên thiết bị, Apple Intelligence. Dịch vụ dựa trên đám mây này nhằm xử lý các tác vụ AI phức tạp hơn trong khi vẫn đảm bảo quyền riêng tư của người dùng.

Chương trình thưởng mở rộng tập trung vào ba loại mối đe dọa chính: tiết lộ dữ liệu không mong muốn, xâm nhập bên ngoài qua yêu cầu của người dùng, và những lỗ hổng truy cập vật lý hoặc nội bộ. Cụ thể, nó nhấn mạnh việc thực thi mã từ xa, trích xuất dữ liệu, và các cuộc tấn công dựa trên mạng, với mức thưởng tối đa lên đến 1 triệu đô la dành cho các nhà nghiên cứu có khả năng phát hiện những lỗ hổng cho phép mã độc chạy từ xa trên máy chủ Private Cloud Compute.

Các nhà nghiên cứu cũng có thể nhận tới 250,000 đô la cho việc báo cáo các lỗ hổng cho phép trích xuất thông tin nhạy cảm của người dùng hoặc các tham số đã gửi. Những lỗ hổng truy cập dữ liệu nhạy cảm từ vị trí mạng ưu tiên có thể mang về cho các nhà nghiên cứu lên tới 150,000 USD.

Apple Thưởng 1 Triệu Usd Cho Việc Phát Hiện Lỗ Hổng Bảo Mật Trong Private Ai Cloud

Apple cho biết rằng phần thưởng dành cho các lỗ hổng bảo mật trong Private Cloud Compute tương đương với những gì được cung cấp cho iOS, vì tính quan trọng của sự đảm bảo về an ninh và quyền riêng tư của dịch vụ này.

Để hỗ trợ sáng kiến này, Apple cung cấp cho các nhà nghiên cứu nhiều tài nguyên phong phú để kiểm tra và xác minh những cam kết về an ninh và quyền riêng tư từ đầu đến cuối của Private Cloud Compute. Những tài nguyên này bao gồm một hướng dẫn an ninh toàn diện mô tả kiến trúc và biện pháp bảo vệ, một Môi trường Nghiên cứu Ảo (VRE) cho phép phân tích trực tiếp hệ thống trên máy tính Mac, và quyền truy cập vào mã nguồn cho các thành phần chính theo thỏa thuận giấy phép sử dụng hạn chế.

Việc cung cấp những công cụ này là một bước đi chưa từng có đối với Apple, nhằm xây dựng niềm tin vào hệ thống. Họ đã cung cấp quyền truy cập sớm cho các kiểm toán viên bên thứ ba và một số nhà nghiên cứu an ninh chọn lọc đến những tài nguyên này. “Hôm nay, chúng tôi công bố những tài nguyên này để mời gọi tất cả các nhà nghiên cứu an ninh và quyền riêng tư – hoặc bất kỳ ai có sự quan tâm và tò mò kỹ thuật – tìm hiểu thêm về PCC và thực hiện xác minh độc lập tuyên bố của chúng tôi.”

Môi trường Nghiên cứu Ảo (VRE) chạy trên các máy Mac sử dụng chip Apple silicon và tối thiểu 16GB bộ nhớ thống nhất, cung cấp những công cụ mạnh mẽ để kiểm tra và xác minh các phiên bản phần mềm PCC, khởi động các phiên bản trong môi trường ảo hóa, thực hiện suy diễn dựa trên các mô hình trình diễn, và chỉnh sửa cũng như gỡ lỗi phần mềm PCC để nghiên cứu sâu hơn.

Apple đã công khai mã nguồn cho một số thành phần của Private Cloud Compute, bao gồm các khía cạnh liên quan đến việc thực hiện an ninh và quyền riêng tư của PCC. Các dự án như CloudAttestation, Thimble, daemon splunkloggingd, và dự án srd_tools nằm trong số này.

Apple cũng cho biết họ sẽ xem xét việc cung cấp phần thưởng cho bất kỳ vấn đề an ninh nào được phát hiện có ảnh hưởng lớn, ngay cả khi nó không thuộc các danh mục đã công bố. “Chúng tôi sẽ đánh giá từng báo cáo dựa trên chất lượng nội dung, bằng chứng về khả năng khai thác, và tác động đến người dùng,” công ty cho biết.

Theo TechSpot

Viết một bình luận