近年来,漏洞赏金项目作为互联网众包模式在网络安全领域的创新应用,已受到众多白帽黑客和安全专家的广泛关注与参与。通过互联网+的安全漏洞悬赏项目,不仅可以借助全球白帽黑客进行持续的安全性测试,发现影响重大的安全隐患,同时也可以为传统防御性的网络安全策略引入进攻性理念,将人的因素置于网络安全工作的核心位置。在本文中,收集整理了2023年启动的10个被行业广泛关注的漏洞赏金项目。
01“黑入五角大楼”三期项目
今年1月,美国国防部宣布启动“黑入五角大楼”漏洞悬赏项目的第三期工作,此前两期分别于2016年和2018年启动并完成。据该项目的启动公告显示,“黑入五角大楼”三期项目的一个关键目标是鼓励白帽黑客攻击国防部设施服务理事会(FSD)的相关控制系统(FRCS)网络,发现其中的安全漏洞,并评估FRCS网络当前的网络安全状况,识别脆弱性和安全漏洞,以改善和加强整体安全状况。
02Malwarebytes漏洞赏金计划
2023年3月,反恶意软件供应商Malwarebytes公司宣布推出一项漏洞赏金项目,将为提交确认的安全漏洞提供超过2000美元的漏洞赏金。该公司表示,测试人员可以对Malwarebytes的网络资产或运行其端点保护软件的部分客户进行安全渗透攻击测试,一旦发现构成远程代码执行(RCE)风险的漏洞,或者可能导致AWS云基础设施被接管的漏洞,将会获得对应的赏金奖励。Malwarebytes公司期望该活动能够确保其自身和主要客户的网络安全可靠。
03OpenAI的大模型漏洞赏金项目
2023年4月,ChatGPT的开发者OpenAI公司启动了一项新的漏洞悬赏项目,以支持开发更加安全可靠的人工智能应用。据了解,OpenAI公司是通过与漏洞悬赏平台Bugcrowd合作,来管理漏洞提交和奖励流程,旨在确保所有参与者都能获得良好的项目参与体验。OpenAI公司表示,会根据报告问题的严重程度和影响提供现金奖励,奖金最高可以达到2万美元(重大的高危漏洞)。
04LayerZero Labs发起Web3安全漏洞赏金项目
2023年5月,跨链通讯协议LayerZero开发商LayerZero Labs公司宣布与面向Web3的漏洞悬赏服务平台Immunefi合作,启动一个新的漏洞悬赏项目。LayerZero Labs公司表示,如果参与者发现高危程度的安全漏洞,最高将可能获得1500万美元的奖励。具体而言,奖励按照Immunefi漏洞严重程度分类系统V2.2评估的漏洞影响来分配。这是一个包含5个等级的量化表,分别针对网站/应用程序、智能合约和区块链/ DLT领域的漏洞威胁和影响。
05针对SquareX网络安全产品的漏洞赏金项目
2023年6月,终端安全供应商SquareX宣布发起一个漏洞悬赏项目,邀请黑客、安全研究人员、技术人员和学生对该公司研发的基于浏览器网络安全产品进行安全攻击测试,并在产品发布前发现其中的安全漏洞。
为了奖励参与项目的白帽黑客,SquareX将为成功发现、报告和证明的漏洞提供最高可达25000美元的奖励。据SquareX介绍,活动吸引了来自印度、美国和德国等地的数百名白帽黑客踊跃参与,共对其产品发起了数千次自动扫描和针对性攻击,但是并没有发现比较严重的漏洞。
06欧洲免费安全漏洞众测项目
2023年7月,安全众测服务平台Hack4Values宣布推出一个面向欧洲非政府组织和非营利组织的免费漏洞悬赏项目。该项目旨在为非政府组织和非营利组织提供免费的安全众测服务,以帮助识别组织中潜在的安全风险,Hack4Values平台还提供相应的解决方案,帮助这些组织解决所发现的漏洞风险。据了解,自项目启动以来,已有50多名自愿参加Hack4Values项目的道德黑客为包括10个非政府组织提供了安全性渗透测试服务。
07Huntr AI漏洞赏金计划平台
2023年8月,Protect AI公司宣布启动针对人工智能和机器学习应用的漏洞悬赏平台Huntr。该公司表示,推出这一平台的主要目的是打造强大的AI安全研究社区,更好发现人工智能和机器学习软件包、代码库、框架和模型中的安全漏洞,并提供相应的修复方法。
据了解,该平台会按月举办竞赛活动,为研究人员提供展示技能和获得奖励的机会,其首届比赛专注于Hugging Face Transformers,奖金高达5万美元。
08雅虎发起公共安全漏洞赏金项目
2023年9月,雅虎公司宣布与安全众测服务公司Intigriti合作,启动一个新的公共漏洞悬赏项目。该项目涉及近70项资产,包括雅虎的高价值互联网域名、API、搜索服务、雅虎购物、雅虎邮件以及雅虎体育等方面,目前已经吸引了7.5万名白帽黑客参与。
雅虎公司表示,悬赏金额与漏洞的潜在影响成正比,发现高危安全漏洞最高可获得超过1.5万美元的奖金。该项目还为“夺旗”(CTF)大赛中名列前茅的参赛团队提供额外的奖金,此举旨在吸引顶级网络安全人才参与,促进白帽黑客之间的合作。
09加密货币交易所Uniswap启动漏洞赏金项目
2023年9月,去中心化加密货币交易所Uniswap宣布启动一个新的漏洞悬赏项目,根据参与者所发现漏洞的严重程度和所影响资产,将提供高达225万美元的奖励。该项目主要面向Uniswap部署的智能合约中的各类漏洞和风险,这些智能合约有可能在众多GitHub代码存储库中被找到,包括通用路由器合约代码、Permit2合约代码、V3合约代码和UniswapX合约代码等。
10谷歌扩大漏洞赏金项目的范围
2023年10月,谷歌公司宣布扩大漏洞悬赏项目的范围,将生成式人工智能等特有的安全问题也纳入项目中。谷歌公司表示,此举是为了激励人工智能安全方面的研究,揭露潜在问题,最终确保人工智能对所有人都更安全。
谷歌公司还宣布,将扩大开源安全工作,确保人工智能供应链安全方面的信息能够被更好发现和验证。谷歌的工程技术团队详细列出了有资格获得奖励的人工智能攻击场景,包括提示攻击、训练数据提取、操纵模型、对抗性扰动以及模型盗窃等。