バグバウンティ(AI)とは
AIバグバウンティとは、外部のセキュリティ研究者やホワイトハッカーに対し、AIシステムの脆弱性を発見・報告してもらい、その対価として報奨金を支払うプログラムです。AIシステム特有の脆弱性発見を対象としたバグバウンティプログラムが、大手AI企業を中心に導入されています。
AI特有の報奨対象
AIバグバウンティで報奨対象となる脆弱性は、従来のソフトウェアバグバウンティとは異なります。新規のジェイルブレイク手法、プロンプトインジェクションの脆弱性、有害コンテンツの生成を引き起こすバイパス手法、モデルの個人情報漏洩、安全機能の回避、予期しないモデルの動作などがAI固有の報奨対象です。報奨金額は脆弱性の深刻度と影響範囲に応じて設定されます。
プログラムの設計
効果的なAIバグバウンティプログラムの設計には、明確なスコープ定義(対象モデル、許可されるテスト手法、除外事項)、報告フォーマットの標準化、迅速なトリアージと対応プロセス、適正な報奨金体系の設定が必要です。AI分野では脆弱性の定義自体が曖昧になりがちなため、「意図された動作」と「脆弱性」の境界を明確に定義することが特に重要です。OpenAI、Google、Microsoftなどが先行してAIバグバウンティプログラムを運営しています。