2023年被廣泛關注的10個漏洞賞金項目
近年來,漏洞賞金項目作為互聯網眾包模式在網絡安全領域的創(chuàng)新應用,已受到眾多白帽黑客和安全專家的廣泛關注與參與。通過互聯網+的安全漏洞懸賞項目,不僅可以借助全球白帽黑客進行持續(xù)的安全性測試,發(fā)現影響重大的安全隱患,同時也可以為傳統防御性的網絡安全策略引入進攻性理念,將人的因素置于網絡安全工作的核心位置。在本文中,收集整理了2023年啟動的10個被行業(yè)廣泛關注的漏洞賞金項目。
01、“黑入五角大樓”三期項目
今年1月,美國國防部宣布啟動“黑入五角大樓”漏洞懸賞項目的第三期工作,此前兩期分別于2016年和2018年啟動并完成。據該項目的啟動公告顯示,“黑入五角大樓”三期項目的一個關鍵目標是鼓勵白帽黑客攻擊國防部設施服務理事會(FSD)的相關控制系統(FRCS)網絡,發(fā)現其中的安全漏洞,并評估FRCS網絡當前的網絡安全狀況,識別脆弱性和安全漏洞,以改善和加強整體安全狀況。
02、Malwarebytes漏洞賞金計劃
2023年3月,反惡意軟件供應商Malwarebytes公司宣布推出一項漏洞賞金項目,將為提交確認的安全漏洞提供超過2000美元的漏洞賞金。該公司表示,測試人員可以對Malwarebytes的網絡資產或運行其端點保護軟件的部分客戶進行安全滲透攻擊測試,一旦發(fā)現構成遠程代碼執(zhí)行(RCE)風險的漏洞,或者可能導致AWS云基礎設施被接管的漏洞,將會獲得對應的賞金獎勵。Malwarebytes公司期望該活動能夠確保其自身和主要客戶的網絡安全可靠。
03、OpenAI的大模型漏洞賞金項目
2023年4月,ChatGPT的開發(fā)者OpenAI公司啟動了一項新的漏洞懸賞項目,以支持開發(fā)更加安全可靠的人工智能應用。據了解,OpenAI公司是通過與漏洞懸賞平臺Bugcrowd合作,來管理漏洞提交和獎勵流程,旨在確保所有參與者都能獲得良好的項目參與體驗。OpenAI公司表示,會根據報告問題的嚴重程度和影響提供現金獎勵,獎金最高可以達到2萬美元(重大的高危漏洞)。
04、LayerZero Labs發(fā)起Web3安全漏洞賞金項目
2023年5月,跨鏈通訊協議LayerZero開發(fā)商LayerZero Labs公司宣布與面向Web3的漏洞懸賞服務平臺Immunefi合作,啟動一個新的漏洞懸賞項目。LayerZero Labs公司表示,如果參與者發(fā)現高危程度的安全漏洞,最高將可能獲得1500萬美元的獎勵。具體而言,獎勵按照Immunefi漏洞嚴重程度分類系統V2.2評估的漏洞影響來分配。這是一個包含5個等級的量化表,分別針對網站/應用程序、智能合約和區(qū)塊鏈/ DLT領域的漏洞威脅和影響。
05、針對SquareX網絡安全產品的漏洞賞金項目
2023年6月,終端安全供應商SquareX宣布發(fā)起一個漏洞懸賞項目,邀請黑客、安全研究人員、技術人員和學生對該公司研發(fā)的基于瀏覽器網絡安全產品進行安全攻擊測試,并在產品發(fā)布前發(fā)現其中的安全漏洞。
為了獎勵參與項目的白帽黑客,SquareX將為成功發(fā)現、報告和證明的漏洞提供最高可達25000美元的獎勵。據SquareX介紹,活動吸引了來自印度、美國和德國等地的數百名白帽黑客踴躍參與,共對其產品發(fā)起了數千次自動掃描和針對性攻擊,但是并沒有發(fā)現比較嚴重的漏洞。
06、歐洲免費安全漏洞眾測項目
2023年7月,安全眾測服務平臺Hack4Values宣布推出一個面向歐洲非政府組織和非營利組織的免費漏洞懸賞項目。該項目旨在為非政府組織和非營利組織提供免費的安全眾測服務,以幫助識別組織中潛在的安全風險,Hack4Values平臺還提供相應的解決方案,幫助這些組織解決所發(fā)現的漏洞風險。據了解,自項目啟動以來,已有50多名自愿參加Hack4Values項目的道德黑客為包括10個非政府組織提供了安全性滲透測試服務。
07、Huntr AI漏洞賞金計劃平臺
2023年8月,Protect AI公司宣布啟動針對人工智能和機器學習應用的漏洞懸賞平臺Huntr。該公司表示,推出這一平臺的主要目的是打造強大的AI安全研究社區(qū),更好發(fā)現人工智能和機器學習軟件包、代碼庫、框架和模型中的安全漏洞,并提供相應的修復方法。
據了解,該平臺會按月舉辦競賽活動,為研究人員提供展示技能和獲得獎勵的機會,其首屆比賽專注于Hugging Face Transformers,獎金高達5萬美元。
08、雅虎發(fā)起公共安全漏洞賞金項目
2023年9月,雅虎公司宣布與安全眾測服務公司Intigriti合作,啟動一個新的公共漏洞懸賞項目。該項目涉及近70項資產,包括雅虎的高價值互聯網域名、API、搜索服務、雅虎購物、雅虎郵件以及雅虎體育等方面,目前已經吸引了7.5萬名白帽黑客參與。
雅虎公司表示,懸賞金額與漏洞的潛在影響成正比,發(fā)現高危安全漏洞最高可獲得超過1.5萬美元的獎金。該項目還為“奪旗”(CTF)大賽中名列前茅的參賽團隊提供額外的獎金,此舉旨在吸引頂級網絡安全人才參與,促進白帽黑客之間的合作。
09、加密貨幣交易所Uniswap啟動漏洞賞金項目
2023年9月,去中心化加密貨幣交易所Uniswap宣布啟動一個新的漏洞懸賞項目,根據參與者所發(fā)現漏洞的嚴重程度和所影響資產,將提供高達225萬美元的獎勵。該項目主要面向Uniswap部署的智能合約中的各類漏洞和風險,這些智能合約有可能在眾多GitHub代碼存儲庫中被找到,包括通用路由器合約代碼、Permit2合約代碼、V3合約代碼和UniswapX合約代碼等。
10、谷歌擴大漏洞賞金項目的范圍
2023年10月,谷歌公司宣布擴大漏洞懸賞項目的范圍,將生成式人工智能等特有的安全問題也納入項目中。谷歌公司表示,此舉是為了激勵人工智能安全方面的研究,揭露潛在問題,最終確保人工智能對所有人都更安全。
谷歌公司還宣布,將擴大開源安全工作,確保人工智能供應鏈安全方面的信息能夠被更好發(fā)現和驗證。谷歌的工程技術團隊詳細列出了有資格獲得獎勵的人工智能攻擊場景,包括提示攻擊、訓練數據提取、操縱模型、對抗性擾動以及模型盜竊等。
文章來源:安全牛綜合編譯整理
