OpenAI предложит пользователям до 20’000 долларов за сообщения об ошибках
Программа OpenAI Bug Bounty, которая была запущена во вторник, будет выплачивать отдельным лицам вознаграждение от 200 до 20'000 долларов в зависимости от серьезности обнаруженных ими ошибок или недостатков в системах безопасности.
Однако программа вознаграждения не распространяется на проблемы, не связанные с модулем или с кибербезопасностью API OpenAI или ChatGPT.
«Проблемы безопасности модели плохо вписываются в программу вознаграждения за ошибки, поскольку они не являются отдельными, дискретными ошибками, которые можно исправить напрямую», — отметила в своем блоге команда Bugcrowd. «Решение этих проблем часто требует серьезных исследований и более широкого подхода».
Исследователи в сфере безопасности, которые хотят участвовать в программе, также должны следовать «правилам взаимодействия», которые помогут OpenAI различать добросовестный взлом и злонамеренные атаки. К ним относятся соблюдение правил политики, сообщение об обнаруженных уязвимостях и воздержание от нарушения конфиденциальности, сбоев в работе систем, уничтожения данных или нанесения вреда пользовательскому интерфейсу.
Любая обнаруженная уязвимость также должна храниться в тайне до тех пор, пока команда безопасности OpenAI не разрешит ее обнародование. Служба безопасности компании стремится предоставить авторизацию в течение 90 дней с момента получения отчета. Возможно констатируя очевидное, исследователям безопасности рекомендуется не прибегать к вымогательству, угрозам или другой тактике, направленной на получение ответа под давлением.
Первоначальная реакция в сообществе кибербезопасности на новость о программе вознаграждения OpenAI за ошибки была положительной.
«Хотя определенные категории ошибок могут не учитываться в программе Bug Bounty, это не означает, что организация не уделяет приоритетного внимания внутренним исследованиям и инициативам в области безопасности, связанным с этими категориями», — сказала Мелисса Бишопинг, директор по исследованиям в области безопасности конечных точек в Tanium Inc. «Часто ограничения масштаба нужны, чтобы гарантировать, что организация может сортировать и отслеживать все ошибки, а объем может быть скорректирован с течением времени. Проблемы с написанием вредоносного кода ChatGPT или другие проблемы, связанные с вредом или безопасностью, хотя и представляют собой определенный риск, не относятся к типу проблем квалифицируемым как конкретная «ошибка», а скорее связаны с самой моделью обучения».