Поделиться
«Яндекс» заплатит миллион тому, кто найдет уязвимости в нейросетях YandexGPT и YandexART
«Яндекс» ищет «белых хакеров», которые смогут найти технические уязвимости в семействах нейросетевых моделей YandexGPT, YandexART и сопутствующей ИТ-инфраструктуре. «Белым хакерам» предстоит выявлять технические ошибки, которые могут повлиять на результаты работы и процесс обучения нейросетевых моделей.
Поиск ИТ-специалистов
«Яндекс» ищет исследователей по информационной безопасности (ИБ), об этом сообщили CNews в ИТ-компании. «Белые хакеры» должны будут найти технические уязвимости в семействах нейросетевых моделей YandexGPT, YandexART и сопутствующей ИТ-инфраструктуре.
«Белый хакер» или же пентестер — это специалист по кибербезопасности. Он проводит пентесты (от penetration test — тест на проникновение), находит и устраняет уязвимости в ИТ-инфраструктуре компании, которые могут привести к потенциальному взлому. В отличие от обычных взломщиков, он находит баги по запросу бизнеса и официально получает за это деньги.
ИБ-исследователям предстоит выявлять технические ошибки, которые могут повлиять на результаты работы и процесс обучения нейросетевых моделей от «Яндекс». Размер вознаграждения будет зависеть от серьезности уязвимости и сложности ее эксплуатации. К критическим уязвимостям относятся те, которые позволяют раскрыть данные о внутренней конфигурации модели, ее служебный промт с технической информацией и другие чувствительные сведения. За такие ошибки предусмотрено максимальное вознаграждение в размере 1 млн руб. В рамках программы «Охота за ошибками» принимаются только отчеты о технических ИТ-уязвимостях.
«Яндекс» — международная ИТ-компания, основанная в России, владеющая одноименной системой поиска в Глобальной сети и интернет-порталом. По состоянию на 2023 г. сайт yandex.ru по посещаемости занимает первое место в России и восьмое место в мире, по данным SimilarWeb. «Яндекс» представляет собой крупную корпорацию, многопрофильную компанию, занимающуюся созданием и развитием полноценных пользовательских сервисов на основе произведенного ею программного обеспечения (ПО). По состоянию на осень 2023 г. «Яндекс» предоставляет более 90 сервисов, которыми пользуются миллионы людей каждый день.
«Участие генеративных нейросетей в программе «Охота за ошибками» позволит проводить их независимую проверку и дополнительно убедиться, что ИТ-сервисы «Яндекса» и новые технологии соответствуют самым высоким стандартам безопасности», — отметили CNews в ИТ-компании «Яндекс».
Программа «Охота за ошибками» была запущена руководством «Яндекса» еще в 2012 г. Она помогает усиливать безопасность и надежность ИТ-сервисов.
В 2025 г. «Яндекс» выделит 100 млн руб. на вознаграждения участников «Охоты за ошибками».
Выплаты участникам
В феврале 2025 г. «Яндекс» подвел ежегодные итоги программы «Охота за ошибками», которая посвящена поиску уязвимостей в ИТ-сервисах и ИТ-инфраструктуре компании. В 2024 г. в ней участвовало 749 исследователей — это на 40% больше, чем в 2023 г. Участники заработали 50,8 млн руб.
Всего «охотники» прислали 980 отчетов, которые соответствовали правилам программы — на треть больше, чем в 2023 г. Они получили награды за 523 отчета. В остальных отчетах были указаны уязвимости и ошибки, которые уже выявили другие ИБ-исследователи или команда безопасности «Яндекса».
Самый успешный участник прислал 28 отчетов об уникальных ошибках и заработал 5,9 млн руб. Второе и третье место заняли «белые хакеры» с выплатами в 3,6 и 3 млн руб. Все критичные ошибки были исправлены.
Рост активности этичных хакеров связан с развитием программы — например, с запуском конкурсов с повышенными выплатами и обновлением направлений «Охоты», в рамках которых исследователи могут искать ошибки.
Кроме того, Yandex Cloud и мобильные приложения были выделены из общего списка в отдельные направления «Охоты за ошибками»: конкретизированы виды ошибок, области поиска и размер наград. Это позволило ИБ-охотникам находить ошибки, специфичные для конкретного ИТ-сервиса, и получать за них вознаграждения, а «Яндексу» — повысить уровень защиты пользовательских данных.
Цели у программы
«Охота за ошибками» позволяет «Яндексу» получить дополнительную независимую оценку уровня безопасности своих ИТ-сервисов и приложений — это один из подходов ИТ-компании для усиления защиты и надежности ИТ-инфраструктуры. Помимо этого, команда безопасности «Яндекса» проводит внешние аудиты для проверки устойчивости инфраструктуры к атакам и безопасности ИТ-сервисов.
Короткая ссылка
