論文の概要: Measuring the Vulnerability Disclosure Policies of AI Vendors
- arxiv url: http://arxiv.org/abs/2509.06136v1
- Date: Sun, 07 Sep 2025 16:44:28 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-09-09 14:07:03.872679
- Title: Measuring the Vulnerability Disclosure Policies of AI Vendors
- Title(参考訳): AIベンダの脆弱性開示ポリシの測定
- Authors: Yangheran Piao, Jingjie Li, Daniel W. Woods,
- Abstract要約: 264社のAIベンダーの開示ポリシーを検討する。
36%のベンダが公開チャネルを提供しておらず、AI関連のリスクを明示的に言及しているのは18%に過ぎません。
我々は、バグ報奨金政策の進化が学術研究や現実世界の出来事に遅れをとっていることを示している。
- 参考スコア(独自算出の注目度): 6.699753859123699
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: As AI is increasingly integrated into products and critical systems, researchers are paying greater attention to identifying related vulnerabilities. Effective remediation depends on whether vendors are willing to accept and respond to AI vulnerability reports. In this paper, we examine the disclosure policies of 264 AI vendors. Using a mixed-methods approach, our quantitative analysis finds that 36% of vendors provide no disclosure channel, and only 18% explicitly mention AI-related risks. Vulnerabilities involving data access, authorization, and model extraction are generally considered in-scope, while jailbreaking and hallucination are frequently excluded. Through qualitative analysis, we further identify three vendor postures toward AI vulnerabilities - proactive clarification (n = 46, include active supporters, AI integrationists, and back channels), silence (n = 115, include self-hosted and hosted vendors), and restrictive (n = 103). Finally, by comparing vendor policies against 1,130 AI incidents and 359 academic publications, we show that bug bounty policy evolution has lagged behind both academic research and real-world events.
- Abstract(参考訳): AIが製品や重要なシステムに統合されるにつれて、研究者は関連する脆弱性の特定により多くの注意を払っている。
効果的な修復は、ベンダーがAI脆弱性レポートを受け入れ、応答する意思があるかどうかに依存する。
本稿では,264社のAIベンダの開示方針について検討する。
私たちの定量的分析では、混合メソッドのアプローチを使用して、ベンダの36%が開示チャネルを提供しておらず、AI関連のリスクを明示的に言及しているのは18%に過ぎません。
データアクセス、認可、モデル抽出を含む脆弱性は一般的にスコープ内と見なされるが、ジェイルブレイクや幻覚はしばしば除外される。
質的な分析を通じて、AI脆弱性に対する3つのベンダーの姿勢をさらに特定する: 積極的な明確化(n = 46、アクティブなサポーター、AI統合主義者、バックチャネルを含む)、沈黙(n = 115、自己ホスト型およびホスト型ベンダーを含む)、制限的(n = 103)。
最後に、1,130件のAIインシデントと359件の学術論文に対するベンダーのポリシーを比較することで、バグ報奨金政策の進化が、学術研究と現実世界のイベントの両方に遅れを取っていることを示している。
関連論文リスト
- CIA+TA Risk Assessment for AI Reasoning Vulnerabilities [0.0]
本稿では,AI推論プロセスのシステム的保護である認知サイバーセキュリティの枠組みについて述べる。
まず、従来のサイバーセキュリティとAIの安全性を補完する規律として、認知サイバーセキュリティを確立します。
第2に、CIA+TAを導入し、従来の機密性、統合性、信頼による可用性を拡張します。
第3に,経験的導出係数を用いた定量的リスク評価手法を提案し,組織が認知的セキュリティリスクを計測できるようにする。
論文 参考訳(メタデータ) (2025-08-19T13:56:09Z) - Never Compromise to Vulnerabilities: A Comprehensive Survey on AI Governance [211.5823259429128]
本研究は,本質的セキュリティ,デリバティブ・セキュリティ,社会倫理の3つの柱を中心に構築された,技術的・社会的次元を統合した包括的枠組みを提案する。
我々は,(1)防衛が進化する脅威に対して失敗する一般化ギャップ,(2)現実世界のリスクを無視する不適切な評価プロトコル,(3)矛盾する監視につながる断片的な規制,の3つの課題を特定する。
私たちのフレームワークは、研究者、エンジニア、政策立案者に対して、堅牢でセキュアなだけでなく、倫理的に整合性があり、公的な信頼に値するAIシステムを開発するための実用的なガイダンスを提供します。
論文 参考訳(メタデータ) (2025-08-12T09:42:56Z) - Bench-2-CoP: Can We Trust Benchmarking for EU AI Compliance? [2.010294990327175]
現在のAI評価プラクティスは、確立されたベンチマークに大きく依存しています。
この研究は、この「ベンチマーク・規制ギャップ」を定量化する緊急の必要性に対処する。
評価のエコシステムは、その焦点の大部分を狭い行動規範に捧げています。
論文 参考訳(メタデータ) (2025-08-07T15:03:39Z) - Security Challenges in AI Agent Deployment: Insights from a Large Scale Public Competition [101.86739402748995]
44の現実的なデプロイメントシナリオを対象とした,22のフロンティアAIエージェントを対象にしています。
Agent Red Teamingベンチマークを構築し、19の最先端モデルで評価します。
私たちの発見は、今日のAIエージェントの重要かつ永続的な脆弱性を浮き彫りにしたものです。
論文 参考訳(メタデータ) (2025-07-28T05:13:04Z) - Position: Mind the Gap-the Growing Disconnect Between Established Vulnerability Disclosure and AI Security [56.219994752894294]
我々は、AIセキュリティレポートに既存のプロセスを適用することは、AIシステムの特徴的な特徴に対する根本的な欠点のために失敗する運命にあると主張している。
これらの欠点に対処する私たちの提案に基づき、AIセキュリティレポートへのアプローチと、新たなAIパラダイムであるAIエージェントが、AIセキュリティインシデント報告の進展をさらに強化する方法について論じる。
論文 参考訳(メタデータ) (2024-12-19T13:50:26Z) - AI Risk Profiles: A Standards Proposal for Pre-Deployment AI Risk
Disclosures [0.8702432681310399]
下流の意思決定をガイドできるリスクプロファイリング標準を提案する。
この基準は、提案したAIリスクの分類に基づいており、文献で提案されるさまざまなリスクの高度な分類を反映している。
我々はこの方法論を,公開情報を用いた多数の著名なAIシステムに適用する。
論文 参考訳(メタデータ) (2023-09-22T20:45:15Z) - Certification Labels for Trustworthy AI: Insights From an Empirical
Mixed-Method Study [0.0]
本研究は,有望なソリューションとしての認定ラベルを実証的に検討した。
ラベルがエンドユーザの信頼とAI使用意欲を大幅に向上させることができることを実証する。
しかし、認証ラベルに対するエンドユーザの好みと、AIの使用に対する信頼と意欲に対する影響は、高い評価のシナリオではより顕著であった。
論文 参考訳(メタデータ) (2023-05-15T09:51:10Z) - Should Machine Learning Models Report to Us When They Are Clueless? [0.0]
我々は、AIモデルは、慣れ親しんだデータの範囲外を誇張していると報告する。
モデルを外挿したかどうかを知ることは、AIモデルの説明に含めるべき基本的な洞察である。
論文 参考訳(メタデータ) (2022-03-23T01:50:24Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。