阅读下文获取具体活动规则~
一、参与活动
▪ 活动时间:4月1日 - 4月15日
▪ 参与方式:漏洞报告标题前标注【大模型专场】,若无则视为不参加本次活动
二、活动规则
▪ 符合测试范围且满足大模型漏洞收录规则的有效安全漏洞:
▫ 严重/高危漏洞:3 倍贡献币奖励
▫ 中危漏洞:1.5 倍贡献币奖励
▫ 注意事项:基础贡献币奖励参与翻倍,额外奖励不翻倍
▪ 不符合以上条件的有效漏洞按照 《MiSRC 漏洞奖励规则 V10.0》发放基础奖励
三、测试范围
范围 | 参与测试的产品/功能范围 |
小米澎湃OS AI | 全局AI帮写、AI写作、AI壁纸、AI相册编辑、AI识音、AI对话翻译、AI同声传译、AI实时字幕、AI搜索、AI反诈、录音机AI功能 |
超级小爱 | AI玩法(AI写真等)、AI创作、智能体等小爱AI功能 |
小米手机一方应用集成的相关AIGC功能 | 浏览器-AI搜索、应用商店-AI搜索、小米视频-视频AI搜索、AI心情手账 |
小米 MiMo Studio Chat(WEB) | https://aistudio.xiaomimimo.com/#/c |
MiMo API | https://api.xiaomimimo.com |
四、大模型漏洞收录规则
等级 | 漏洞影响样例 | 奖励标准 (贡献币) |
严重 | 1. 非授权获取、泄露、复制云端大模型权重、核心参数与结构,或通过模型提取攻击构建功能等效影子模型,造成核心知识产权完全流失。2. 通过数据提取、逆向工程等手段,批量获取训练集涉密信息、个人敏感数据、商业机密等核心配置,引发严重合规风险。3. 利用漏洞实现云端大模型服务全权限控制,包括远程代码执行(RCE)、任意命令注入、沙箱绕过、函数调用滥用等,直接导致服务完全失控。4. 利用模型缺陷或代理 / 插件漏洞,越权访问企业核心内部系统、大量用户数据、涉密业务资源,或执行高危核心业务操作,造成核心数据批量泄露。5. 模型集成的第三方插件 / 工具存在安全漏洞,可被利用实现全量命令注入、核心数据窃取、服务权限接管等高危害攻击,直接威胁模型服务整体安全。 | 600~1500 |
高危 | 1. 通过模型逆向工程、提示词注入等手段,非授权获取训练数据中的少量个人敏感信息、非核心商业机密等敏感配置,存在合规风险但未达到批量泄露级别。2. 利用模型缺陷或关联系统漏洞,越权访问其他用户非敏感数据,或执行非核心高危业务操作,未突破核心权限管控。3. 模型集成的第三方插件 / 工具存在高危安全漏洞,可被利用实现非授权数据窃取、局部权限越权、受限命令执行等攻击,无法直接接管模型核心服务。 | 300~500 |
中危 | 1. 可通过构造特定请求,稳定触发模型服务大规模资源耗尽,导致全量用户服务中断、服务质量严重下降甚至不可用。 | 50~200 |
忽略 | 1. 非信息安全漏洞导致的内容安全风险、模型提示与响应内容相关的问题MiSRC暂不收录,请通过对应APP/网站的用户/客服反馈渠道直接提交相关问题。模型提示与响应内容相关的问题暂不收录举例:(1)模型提示类:越狱/安全绕过(如DAN/AIM等相关提示词)(2)响应内容类:大模型输出恶意内容(如违规营销信息、恶意代码等)(3)模型幻觉类:诱导大模型模拟计算机终端并执行命令等2. 如有对产品可造成额外的、可直接验证的安全影响(如获取训练数据、篡改模型架构、信息泄漏,越权获取他人对话内容等),则正常收录(测试过程请使用测试账号进行测试)。3. 非隐私数据泄露相关的Al服务风险(如Jailbreak、PromptLeak等)暂不收录。4. 本身符合业务预期的产品功能不进行收录,如沙箱环境中的代码/命令执行等。若能进行有效逃逸到宿主机/物理机/通内网(可通过ssrf平台验证)或发现敏感信息,则正常收录。 | 0 |
五、注意事项
以下情况可能导致漏洞评级下调:
▪ 复现条件较为苛刻,需在特定触发条件下才能利用
▪ 依赖用户主动配合或特定操作方可触发
六、活动说明
▪ 漏洞提交地址:https://sec.xiaomi.com/#/security
▪ 该活动奖励不与MiSRC其他活动奖励叠加
▪ 隐私漏洞不纳入本次活动范围
▪ 除漏洞基础贡献币奖励,其余活动奖励(翻倍、冲榜、新人奖励等)均在活动结束后统一发放,如有疑问可通过[email protected]邮箱联系
▪ MiSRC 1 贡献币 = 10 RMB
▪ 活动最终解释权归MiSRC所有
转发本文至朋友圈保留到开奖日期可以参与抽奖
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...