微軟發動獎金提高50~100%的駭客任務Zero Day Quest

微軟周二（11/19）發表駭客任務競賽，邀請全球安全研究人員提交有關微軟AI、Microsoft Azure、Microsoft Identity、M365、Microsoft Dynamics 365及Power Platform等服務的安全漏洞研究，並提供50%~100%增幅的漏洞獎勵，活動期間為11月19日至明年的1月19日。前45名的研究人員還會獲邀參加，明年於微軟華盛頓總部舉行的實體駭客活動（Onsite Hacking Event）。

其中，所有有關AI安全漏洞的獎金都是加倍的，涵蓋推論操縱、模型操縱或是推論資訊揭露之各種等級的安全漏洞，例如提交高品質的重大漏洞報告可得到的獎金，從原本的1.5萬美元增加到3萬美元，除了AI之外，其它類別的獎金也都有50%的漲幅。

微軟也列出此一研究挑戰賽中被禁止的行為，包括存取不完全屬於自己的資料；在研究伺服器端執行漏洞時，不得超出概念性驗證範圍；不得執行任何類型的服務阻斷測試；禁止會產生大流量的自動化測試；使用服務時不得違反微軟服務條款。此外，該活動僅限於微軟線上服務的技術漏洞，因此微軟也禁止研究人員企圖對他們（包括微軟員工）進行網路釣魚等社交工程的攻擊行動。

在Zero Day Quest競賽中，所獲得的獎金位於前45名的安全研究人員，將可獲邀參與微軟於明年舉行的Onsite Hacking Event現場活動，得以參與Onsite Hacking Event的，還包括2024年在Azure、Dynamics 和Office抓漏排行榜上前10名的研究人員。微軟將提供價值5,000美元的往返交通及5晚飯店。

微軟安全回應中心（Microsoft Security Response Center，MSRC）工程副總裁Tom Gallagher表示，此一活動不僅僅是為了尋找漏洞，也能強化MSRC、產品團隊及外部研究人員之間的關係，提高安全門檻。另一方面，微軟亦鼓勵開發人員在漏洞緩解後，於微軟的支持下透過部落格、播客或影片公開討論其發現。