Google étend son bug bounty à l’IA générative

Google a annoncé, le 26 octobre 2023, l’extension de son programme de bug bounty aux applications d’IA générative. Le géant du net a récemment créé une équipe dédiée à la cyberprotection de l’IA, baptisée « AI Red Team ». Elle lui a permis de définir quelles vulnérabilités des modèles d’IA méritaient une rémunération en cas de découverte.

Très classiquement, le bug bounty de Google couvre ainsi les failles permettant de manipuler ou de voler les modèles des IA génératives. Mais il s’attache surtout aux compromissions spécifiques à cette technologie, comme les attaques par injection d’invite (« prompt injection attacks »). Ces dernières consistent à demander à un grand modèle de langage (LLM) de respecter certaines invites contradictoires, le conduisant à ignorer des garde-fous posés par ses concepteurs.

Avec ce programme de bug bounty, Google va également rémunérer la découverte de failles autorisant « l’extraction de données de formation ». Ces vulnérabilités permettent de reconstituer les données d’apprentissage d’un modèle, notamment des informations personnelles non-publiques ou des mots de passe. Le géant du net n’offrira en revanche aucune récompense pour des bugs liés à des problèmes de droits d’auteur ou à l’extraction de données non sensibles ou publiques.