Jos olet tietoturvatutkija, eettinen hakkeri tai teknologian ystävä, OpenAI pyytää apuasi. Eikä se ole ilmaista.

11. huhtikuuta 2023 OpenAI ilmoitti bug bounty -ohjelmasta osana sitoutumistaan luotettavat, turvalliset ja kehittyneet tekoälyjärjestelmät, ja kuka tahansa, jolla on oikeat taidot, voi mahdollisesti auttaa ulos.

Mikä on OpenAI: n Bug Bounty -ohjelma?

OpenAI ilmoitti sen Bug Bounty -ohjelma kannustaa niiden sovellusten, kuten ChatGPT: n ja DALL-E: n, käyttäjiä luomaan turvallisia, edistyneitä ja maailmanlaajuisesti hyödyllisiä tekoälyjärjestelmiä.

Jokainen, joka löytää ja raportoi haavoittuvuuksista OpenAI: n järjestelmissä, ansaitsee rahapalkintoja, mikä johtaa win-win-tilanteeseen. Samalla kun osallistujat ansaitsevat rahaa, yrityksen järjestelmät tulevat turvallisemmiksi.

OpenAI lupaa suojella sinua vastuilta tai rangaistuksilta, jos noudatat sen annettuja ohjeita, ja myös kuittaavat lähetykset ja korjaavat vahvistetut haavoittuvuudet viipymättä. Lisäksi OpenAI väittää, että se tunnistaa julkisesti panoksesi, jos se on ainutlaatuinen ja johtaa kokoonpanon tai koodin muutokseen.

Et kuitenkaan voi paljastaa haavoittuvuuksiin liittyviä havaintojasi julkisuuteen niiden lähettämisen jälkeen.

Tämä bug bounty -ohjelma kattaa kaikkien OpenAI-järjestelmien haavoittuvuudet, mukaan lukien API-kohteet ja -avaimet, ChatGPT ja tutkimusorganisaatio. Aloite ei kuitenkaan kata OpenAI: n mallin turvallisuuskysymyksiä, mukaan lukien turvallisuuden ohitukset ja mallin saaminen luomaan haitallista koodia. Lisäksi yritys ei palkitse mallin pikasisältöön tai vastauksiin liittyviä kysymyksiä AI hallusinaatiot. Voit ilmoittaa näistä OpenAI: n tiimi mallikäyttäytymispalautetta varten.

Kuinka paljon voit ansaita OpenAI: n Bug Bounty -ohjelmasta?

OpenAI määrittää maksettavat rahapalkkiot sen perusteella, kuinka vakava ja vaikuttava havaittu virhe on. Tyypillisesti palkkio on 200–6 500 dollaria haavoittuvuutta kohti, mutta se voi olla suurempikin, jos löydöksesi ovat poikkeuksellisia ja merkittäviä.

Maksimipalkkio, jonka voit ansaita, on 20 000 dollaria.

Aluksi löytösi prioriteettitaso ja palkintosi määritetään käyttämällä Bugcrowdin haavoittuvuusluokitustaksonomia. OpenAI voi kuitenkin muuttaa tätä tasoa ja palkintoasi, jos se katsoo sen tarpeelliseksi.

Tekoälytutkimusyritys ei myöskään korvaa sinulle ostoksia tai päivityksiä, jotka teet tunnistaessasi tai testaaessasi virheitä.

Kuinka osallistua OpenAI: n Bug Bounty -ohjelmaan

Koska Bugcrowd helpottaa tätä bugipalkkioohjelmaa, sinun on luotava Bugcrowd-tili osallistuaksesi. OpenAI jopa ehdottaa, että suoritat valtuutetun lisätestauksen käyttämällä "@bugcrowdninja.com" -sähköpostiosoitetta.

Bugcrowd-tilillä voit napsauttaa "Lähetä raportti" -välilehteä Bugcrowd OpenAI -ohjelman sivu ilmoittamaan haavoittuvuuksista. Tämä ohjaa sinut lähetyssivulle.

Täällä sinun on täytettävä seuraavat tiedot:

  1. Otsikko, joka kuvaa haavoittuvuutta selkeästi ja lyhyesti
  2. Havaitun haavoittuvuuden kohde
  3. Haavoittuvuuden tyyppi
  4. Haavoittuvuuden URL-osoite tai sijainti
  5. Kuvaus virheestä ja sen vaikutuksesta
  6. Proof-of-concept-skriptit, näyttötallenteet tai virhettä kuvaavat liitteet
  7. Lähetyksen tutkijat ja yhteistyökumppanit

Kun olet täyttänyt nämä tiedot, hyväksy Bugcrowdin käyttöehdot ja napsauta Ilmoita haavoittuvuudesta.

Huomaa, että et saa lähettää API-avaimia Bugcrowdille. Sinun tulee lähettää vain avaimet, jotka löydät verkosta osoitteen kautta OpenAI API-avainlomake.

Mitkä haavoittuvuudet ovat oikeutettuja palkintoihin?

Sinut palkitaan kaikista tietoturva-, toiminna-, suorituskyky- ja dokumentaatiohaavoittuvuuksista, jotka löydät osoitteesta api.openai.com, kolmannen osapuolen kohteista, ChatGPT-, ChatGPT-laajennuksista, https://openai.org, */openai.org, OpenAI API-avaimet, openai.com, */openai.com ja kehittäjän alustan leikkipaikka.

Näitä ovat palvelinpuolen lisäys, palvelimen tietoturvamääritykset, sivustojen välinen komentosarja (XSS), suojaamaton käyttöjärjestelmä/laiteohjelmisto, suojaamaton tietojen tallennus, sivustojen välisen pyynnön väärennös (CSRF) ja rikkinäinen todennus ja istunnonhallinta.

Kaikkien haavoittuvuuksien on oltava OpenAI: n järjestelmässä, hyödynnettävissä ja uusia.

Ansaitse rahaa parantamalla OpenAI: n järjestelmiä

OpenAI: n bugipalkkioohjelma on loistava tapa sinulle – eettisenä hakkerina, tietoturvatutkijana tai teknologian harrastajana – ansaita samalla kun parannat yrityksen tekoälyjärjestelmiä.

Varmista kuitenkin, että noudatat kaikkia määriteltyjä ohjeita ja sitouttamissääntöjä.