Google lance un nouveau programme qui récompense tous ceux qui trouvent des failles de sécurité dans ses systèmes d’intelligence artificielle, dont Gemini. La récompense peut atteindre 30 000 dollars.
Des scénarios d’attaque concrets visés par le programme
Les failles que recherche activement Google concernent l’exploitation malveillante des modèles de langage et des systèmes génératifs. L’entreprise illustre sa démarche avec des exemples précis : une injection de prompt pourrait commander à Google Home de déverrouiller une porte, tandis qu’une autre technique permettrait d’exfiltrer l’intégralité des e-mails d’une victime vers le compte d’un attaquant.
La définition retenue couvre les vulnérabilités permettant d’altérer les comptes ou données utilisateurs. Un cas avéré démontrait qu’un événement Google Agenda modifié pouvait manipuler des volets connectés et éteindre l’éclairage domestique. Ces actions non autorisées constituent la priorité absolue du programme
Une rémunération pouvant atteindre 30 000 dollars
Depuis deux ans, l’entreprise a distribué plus de 430 000 dollars aux chercheurs en sécurité spécialisés en IA avec un programme test. Ces experts traquent systématiquement les moyens d’abuser des fonctionnalités intelligentes intégrées aux produits de Google.
Les récompenses s’échelonnent selon plusieurs critères. La somme de base atteint 20 000 dollars pour les vulnérabilités touchant les produits phares : le moteur de recherche, les applications de Gemini, ainsi que les outils Workspace comme Gmail et Google Drive. Des multiplicateurs récompensent la qualité du rapport tandis qu’un bonus nouveauté peut porter le montant total à 30 000 dollars. Les tarifs diminuent pour les autres services tels que Jules ou NotebookLM, ainsi que pour les exploitations de moindre gravité comme le vol de paramètres secrets du modèle.
Exclusions et canaux de signalement spécifiques
Les simples hallucinations de Gemini ne suffisent pas à décrocher une récompense. Google oriente les problématiques de contenu généré vers d’autres procédures. Les sorties inappropriées comme les discours haineux ou les violations de droits d’auteur doivent transiter par le canal intégré au service. Cette approche permet aux équipes de sécurité IA d’analyser le comportement du modèle et d’implémenter un entraînement correctif à l’échelle globale.
L’annonce du programme s’accompagne du lancement de CodeMender. Cet agent d’intelligence artificielle détecte et corrige les vulnérabilités dans le code source. Google affirme avoir déployé 72 correctifs de sécurité dans des projets open source grâce à cet outil, chaque intervention étant validée par un chercheur humain avant déploiement.
2 commentaires pour cet article :