huntr - Die führende Bug-Bounty-Plattform für AI/ML
huntr ist eine bahnbrechende Plattform, die speziell für die Sicherheit von AI/ML-Open-Source-Apps und -Bibliotheken sowie ML-Modell-Dateiformaten entwickelt wurde. Die Plattform bietet Sicherheitsexperten eine zentrale Stelle, um Schwachstellen zu melden und so die Sicherheit und Stabilität dieser Technologien zu gewährleisten.
Überblick: Die Plattform hat einen strukturierten Ablauf für die Meldung von Schwachstellen. Zunächst findet ein Forscher eine Schwachstelle und reicht diese über ein sicheres Formular ein. Danach wird der Maintainer kontaktiert und alle 7 Tage erneut angesprochen. Dem Maintainer stehen 31 Tage zur Verfügung, um auf den Bericht zu reagieren. Für hohe und kritische Berichte, bei denen keine Antwort eingeht, wird innerhalb von 14 Tagen manuell eine Lösung erarbeitet.
Kernfunktionen: Wenn ein Bericht als gültig erkannt wird, entweder durch den Maintainer oder huntr, wird dem Forscher eine Belohnung ausgezahlt. Für Open-Source-Berichte wird zudem eine CVE vergeben und dem Maintainer kann eine Fix-Belohnung für die Behebung der Schwachstelle und die Zusammenführung des Patches gewährt werden. In Zukunft soll die Plattform auch die Möglichkeit bieten, dass Forscher einen Patch einreichen und die Fix-Belohnung beanspruchen können, dies ist jedoch aktuell noch nicht unterstützt.
Grundlegende Nutzung: Alle Open-Source-Schwachstellenberichte werden nach 90 Tagen öffentlich gemacht, wobei Maintainer eine Verlängerung beantragen können, wenn nötig. Berichte, die als informativ oder ungültig markiert sind, werden sofort öffentlich zugänglich gemacht. Berichte, die sich auf Modell-Dateiformate beziehen, werden nicht öffentlich bekannt gegeben.
