Huntr

Huntr tự định vị mình là nền tảng săn lỗi nhận thưởng tiên phong trên thế giới, tập trung hoàn toàn vào chuỗi cung ứng Trí tuệ nhân tạo và Học máy (AI/ML). Sứ mệnh cốt lõi của nó là tạo ra một môi trường an toàn và ổn định cho việc phát triển và triển khai các công nghệ AI bằng cách thúc đẩy một cầu nối hợp tác giữa các nhà nghiên cứu bảo mật và những người bảo trì các dự án AI/ML mã nguồn mở. Nền tảng này cung cấp một quy trình tập trung, tinh gọn để khám phá, báo cáo và khắc phục các lỗ hổng trên một phạm vi rộng của hệ sinh thái AI, từ các thư viện nền tảng như PyTorch và TensorFlow đến các ứng dụng phổ biến và các định dạng tệp mô hình quan trọng.

Bằng cách khuyến khích việc hack có đạo đức, Huntr đã xây dựng một cộng đồng sôi động với hơn 15.000 chuyên gia bảo mật và nhà phát triển. Cộng đồng này đã đóng vai trò quan trọng trong việc phát hiện hàng trăm lỗ hổng bảo mật đáng kể, với tỷ lệ cao là các lỗ hổng có mức độ nghiêm trọng cao hoặc nghiêm trọng. Tác động của nền tảng được các ông lớn trong ngành AI công nhận, bao gồm cả mối quan hệ đối tác đáng chú ý với Hugging Face, nhấn mạnh vai trò quan trọng của nó trong việc bảo vệ các công cụ cung cấp năng lượng cho AI hiện đại.

Cách sử dụng Huntr

Quy trình tương tác với Huntr được thiết kế rõ ràng và hiệu quả cho cả nhà nghiên cứu và người bảo trì dự án, tuân theo một vòng đời công bố lỗ hổng có cấu trúc gồm bốn bước:

1. Công bố (Disclose): Một nhà nghiên cứu bảo mật phát hiện ra một lỗ hổng tiềm ẩn trong một dự án AI/ML được liệt kê hoặc một định dạng tệp mô hình. Họ gửi phát hiện của mình thông qua biểu mẫu báo cáo an toàn và bảo mật của Huntr, cung cấp giải thích chi tiết và bằng chứng khái niệm (PoC).
2. Xác thực (Validate): Đội ngũ Huntr phân loại báo cáo và liên hệ với người bảo trì dự án liên quan. Người bảo trì có 31 ngày để phản hồi và xác thực báo cáo. Nếu báo cáo có mức độ nghiêm trọng cao hoặc nghiêm trọng và không nhận được phản hồi, đội ngũ Huntr có thể tự xác thực để đảm bảo hành động kịp thời.
3. Thưởng (Reward): Khi một lỗ hổng được xác nhận là hợp lệ bởi người bảo trì hoặc đội ngũ Huntr, nhà nghiên cứu sẽ được thưởng một khoản tiền thưởng. Số tiền thưởng thay đổi tùy thuộc vào mức độ nghiêm trọng và phạm vi của lỗ hổng. Các báo cáo hợp lệ cũng được cấp một mã định danh CVE, công nhận chính thức công việc của nhà nghiên cứu.
4. Công khai (Publish): Để thúc đẩy tính minh bạch và chia sẻ kiến thức, các báo cáo lỗ hổng đã được xác thực cho phần mềm mã nguồn mở sẽ được công khai sau thời gian cấm vận 90 ngày, có thể kéo dài nếu người bảo trì cần thêm thời gian để sửa lỗi. Các báo cáo liên quan đến định dạng tệp mô hình thường không được công khai để ngăn chặn việc khai thác trên diện rộng.

Tính năng chính của Huntr

• Chương trình Săn lỗi Kép: Huntr cung cấp hai chương trình riêng biệt: Lỗ hổng Mã nguồn mở (OSV) cho các ứng dụng và thư viện AI/ML, và Lỗ hổng Tệp Mô hình (MFV) nhắm mục tiêu cụ thể vào các định dạng như .safetensors, .gguf và .pkl.
• Khuyến khích Tài chính: Nền tảng cung cấp các khoản tiền thưởng cạnh tranh để thưởng cho nỗ lực của các nhà nghiên cứu, với các khoản thanh toán lên tới 1.500 đô la cho OSV và lên tới 4.000 đô la hoặc hơn cho các phát hiện MFV quan trọng.
• Cấp phát CVE: Các lỗ hổng đã được xác thực được cấp một ID Lỗ hổng và Phơi nhiễm Chung (CVE), cung cấp sự công nhận chính thức từ ngành công nghiệp cho phát hiện của nhà nghiên cứu.
• Nền tảng Hợp tác: Nó đóng vai trò là một trung tâm kết nối hàng ngàn nhà nghiên cứu bảo mật với những người bảo trì của hàng trăm dự án AI/ML quan trọng, bao gồm cả các dự án từ NVIDIA, Google, Meta, Microsoft và Hugging Face.
• Quy trình Công bố có Cấu trúc: Một lịch trình công bố rõ ràng và có trách nhiệm đảm bảo rằng những người bảo trì có đủ thời gian để vá các lỗ hổng trước khi chúng được công khai.

Các trường hợp sử dụng Huntr

Huntr có giá trị đối với nhiều bên liên quan trong hệ sinh thái AI:

• Nhà nghiên cứu Bảo mật: Có thể kiểm tra các công cụ AI/ML phổ biến một cách hợp pháp và có đạo đức, kiếm tiền từ kỹ năng bảo mật của mình và xây dựng danh tiếng chuyên nghiệp thông qua các CVE.
• Người bảo trì Mã nguồn mở: Nhận được một luồng báo cáo bảo mật chất lượng cao đã được kiểm duyệt, giảm bớt gánh nặng quản lý việc công bố và giúp họ bảo vệ dự án của mình một cách hiệu quả.
• Doanh nghiệp & Đội ngũ MLOps: Bằng cách khuyến khích bảo mật các thành phần mã nguồn mở mà họ phụ thuộc, các công ty có thể giảm đáng kể rủi ro chuỗi cung ứng AI và bảo vệ hệ thống sản xuất của mình khỏi các cuộc tấn công tiềm tàng.
• Nhà phát triển AI/ML: Có thể tìm hiểu về các cạm bẫy bảo mật phổ biến và các phương pháp hay nhất dành riêng cho lĩnh vực AI bằng cách xem lại các báo cáo lỗ hổng đã được công bố.

Ưu điểm của Huntr

Ưu điểm chính của Huntr là sự tập trung chuyên môn hóa. Không giống như các nền tảng săn lỗi nhận thưởng đa năng, Huntr có chuyên môn sâu về các vectơ mối đe dọa độc đáo ảnh hưởng đến hệ thống AI/ML, chẳng hạn như đầu độc mô hình, rò rỉ dữ liệu và các cuộc tấn công giải tuần tự hóa trong các tệp mô hình. Sự chuyên môn hóa này thu hút các tài năng bảo mật hàng đầu có kỹ năng liên quan, dẫn đến những phát hiện có tác động lớn hơn. Nó thúc đẩy một văn hóa bảo mật chủ động, do cộng đồng định hướng, giúp củng cố toàn bộ hệ sinh thái AI, làm cho nó an toàn hơn cho tất cả mọi người, từ các nhà phát triển cá nhân đến các tập đoàn lớn.

Giá cả và gói dịch vụ

Đối với các nhà nghiên cứu bảo mật và người bảo trì mã nguồn mở, việc tham gia nền tảng Huntr là miễn phí. Các nhà nghiên cứu tham gia để đóng góp kỹ năng của mình và kiếm tiền thưởng, trong khi người bảo trì có thể quản lý các báo cáo lỗ hổng cho dự án của họ mà không mất bất kỳ chi phí nào. Các phần thưởng tài chính (tiền thưởng) được tài trợ bởi Huntr và các đối tác của nó. Các khoản thanh toán được thực hiện hàng tháng qua Stripe Connect cho các lỗ hổng đã được xác thực và trao thưởng.