文章总结： 小米安全中心于2026年4月1日至15日举办AI大模型专场漏洞挖掘活动，参与者需在漏洞报告标题标注大模型专场。符合测试范围的有效漏洞将获得贡献币翻倍奖励：严重/高危漏洞3倍、中危漏洞1.5倍。测试范围涵盖小米澎湃OSAI功能、超级小爱、MiMoStudio等大模型相关产品。漏洞收录规则详细划分了严重、高危、中危三级漏洞的评定标准和奖励额度（最高1500贡献币），并明确提示词注入、模型幻觉等类型问题暂不收录。 综合评分： 85 文章分类： SRC活动,漏洞分析,AI安全,WEB安全,渗透测试

AI大模型专场开启，MiSRC邀你来挖洞

小米安全中心

2026年4月1日 10:01 北京

AI大模型专场开启

4月1日-4月15日

MiSRC邀你来挖洞

阅读下文获取具体活动规则~

一、参与活动

▪ 活动时间：4月1日 – 4月15日

▪ 参与方式：漏洞报告标题前标注【大模型专场】，若无则视为不参加本次活动

二、活动规则

▪ 符合测试范围且满足大模型漏洞收录规则的有效安全漏洞：

    ▫ 严重/高危漏洞：3 倍贡献币奖励

    ▫ 中危漏洞：1.5 倍贡献币奖励

    ▫ 注意事项：基础贡献币奖励参与翻倍，额外奖励不翻倍

▪ 不符合以上条件的有效漏洞按照 《MiSRC 漏洞奖励规则 V10.0》发放基础奖励

三、测试范围

| | | | — | — | | 范围 | 参与测试的产品/功能范围 | | 小米澎湃OS AI | 全局AI帮写、AI写作、AI壁纸、AI相册编辑、AI识音、AI对话翻译、AI同声传译、AI实时字幕、AI搜索、AI反诈、录音机AI功能 | | 超级小爱 | AI玩法(AI写真等)、AI创作、智能体等小爱AI功能 | | 小米手机一方应用集成的相关AIGC功能 | 浏览器-AI搜索、应用商店-AI搜索、小米视频-视频AI搜索、AI心情手账 | | 小米 MiMo Studio Chat（WEB） | https://aistudio.xiaomimimo.com/#/c | | MiMo API | https://api.xiaomimimo.com |

四、大模型漏洞收录规则

| | | | | — | — | — | | 等级 | 漏洞影响样例 | 奖励标准 （贡献币） | | 严重 | 1. 非授权获取、泄露、复制云端大模型权重、核心参数与结构，或通过模型提取攻击构建功能等效影子模型，造成核心知识产权完全流失。 2. 通过数据提取、逆向工程等手段，批量获取训练集涉密信息、个人敏感数据、商业机密等核心配置，引发严重合规风险。 3. 利用漏洞实现云端大模型服务全权限控制，包括远程代码执行（RCE）、任意命令注入、沙箱绕过、函数调用滥用等，直接导致服务完全失控。 4. 利用模型缺陷或代理 / 插件漏洞，越权访问企业核心内部系统、大量用户数据、涉密业务资源，或执行高危核心业务操作，造成核心数据批量泄露。 5. 模型集成的第三方插件 / 工具存在安全漏洞，可被利用实现全量命令注入、核心数据窃取、服务权限接管等高危害攻击，直接威胁模型服务整体安全。 | 600~1500 | | 高危 | 1. 通过模型逆向工程、提示词注入等手段，非授权获取训练数据中的少量个人敏感信息、非核心商业机密等敏感配置，存在合规风险但未达到批量泄露级别。 2. 利用模型缺陷或关联系统漏洞，越权访问其他用户非敏感数据，或执行非核心高危业务操作，未突破核心权限管控。 3. 模型集成的第三方插件 / 工具存在高危安全漏洞，可被利用实现非授权数据窃取、局部权限越权、受限命令执行等攻击，无法直接接管模型核心服务。 | 300～500 | | 中危 | 1. 可通过构造特定请求，稳定触发模型服务大规模资源耗尽，导致全量用户服务中断、服务质量严重下降甚至不可用。 | 50～200 | | 忽略 | 1. 非信息安全漏洞导致的内容安全风险、模型提示与响应内容相关的问题MiSRC暂不收录，请通过对应APP/网站的用户/客服反馈渠道直接提交相关问题。 模型提示与响应内容相关的问题暂不收录举例： （1）模型提示类:越狱/安全绕过(如DAN/AIM等相关提示词) （2）响应内容类:大模型输出恶意内容(如违规营销信息、恶意代码等) （3）模型幻觉类:诱导大模型模拟计算机终端并执行命令等 2. 如有对产品可造成额外的、可直接验证的安全影响(如获取训练数据、篡改模型架构、信息泄漏，越权获取他人对话内容等)，则正常收录(测试过程请使用测试账号进行测试)。 3. 非隐私数据泄露相关的Al服务风险(如Jailbreak、PromptLeak等)暂不收录。 4. 本身符合业务预期的产品功能不进行收录，如沙箱环境中的代码/命令执行等。若能进行有效逃逸到宿主机/物理机/通内网(可通过ssrf平台验证)或发现敏感信息，则正常收录。 | 0 |

五、注意事项

以下情况可能导致漏洞评级下调：

▪ 复现条件较为苛刻，需在特定触发条件下才能利用

▪ 依赖用户主动配合或特定操作方可触发

六、活动说明

▪ 漏洞提交地址：https://sec.xiaomi.com/#/security

▪ 该活动奖励不与MiSRC其他活动奖励叠加

▪ 隐私漏洞不纳入本次活动范围

▪ 除漏洞基础贡献币奖励，其余活动奖励（翻倍、冲榜、新人奖励等）均在活动结束后统一发放，如有疑问可通过[email protected]邮箱联系

▪ MiSRC 1 贡献币 = 10 RMB

▪ 活动最终解释权归MiSRC所有

转发本文至朋友圈保留到开奖日期可以参与抽奖

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小米安全中心 《AI大模型专场开启，MiSRC邀你来挖洞》