OpenAI

AI 研究会社 OpenAI は本日、登録されたセキュリティ研究者が製品ラインの脆弱性を発見し、Bugcrowd クラウドソーシング セキュリティ プラットフォームを介してそれらを報告することで報酬を得ることができる、新しいバグ報奨金プログラムの開始を発表しました。

同社が本日明らかにしたように、報酬は報告された問題の重大度と影響に基づいており、重大度の低いセキュリティ上の欠陥に対する 200 ドルから、例外的な発見に対する 20,000 ドルまでの幅があります。

OpenAI バグ報奨金プログラムは、当社のテクノロジと会社のセキュリティを維持するために貢献しているセキュリティ研究者の貴重な洞察を認識し、報いる方法です」と OpenAI は述べています

「私たちのシステムで発見した脆弱性、バグ、またはセキュリティ上の欠陥を報告してください。あなたの発見を共有することで、私たちのテクノロジーをすべての人にとってより安全にする上で重要な役割を果たします。」

ただし、OpenAI アプリケーション プログラミング インターフェイス (API) とその ChatGPT 人工知能チャットボットは賞金稼ぎの範囲内のターゲットですが、セキュリティに影響がない限り、モデルの問題を別のフォームで報告するよう研究者に依頼しました。

「モデルの安全性の問題は、直接修正できる個々の個別のバグではないため、バグ報奨金プログラムにうまく適合しません。これらの問題に対処するには、多くの場合、実質的な研究とより広範なアプローチが必要です」と OpenAI は述べています。

「これらの懸念が適切に対処されるようにするには、バグ報奨金プログラムを通じて送信するのではなく、 適切なフォームを使用して報告してください。適切な場所に報告することで、研究者はこれらの報告を使用してモデルを改善できます。」

範囲外のその他の問題には、ChatGPT ユーザーが、ChatGPT チャットボットをだまして OpenAI エンジニアによって実装されたセーフガードを無視させるために悪用されている脱獄や安全バイパスが含まれます。

OpenAI バグ報奨金のお知らせ

先月、OpenAI はChatGPT 支払いデータの漏洩を明らかにしました。これは同社のプラットフォームで使用されている Redis クライアント オープンソース ライブラリのバグが原因でした。

このバグにより、ChatGPT Plus のサブスクライバーは、サブスクリプション ページに他のユーザーのメール アドレスを表示するようになりました。ユーザーからの報告の増加に伴い、OpenAI は問題を調査するために ChatGPT ボットをオフラインにしました。

数日後に公開された事後分析で、同社は、このバグにより、ChatGPT サービスが Plus 加入者の約 1.2% のチャット クエリと個人情報を公開したと説明しました。

公開された情報には、加入者の名前、電子メール アドレス、支払い先住所、クレジット カード情報の一部が含まれていました。

「バグは、Redis クライアントのオープンソース ライブラリである redis-py で発見されました。バグを特定するとすぐに、問題を解決するためのパッチを Redis メンテナーに連絡しました」と OpenAI は述べています。

同社は本日の発表をこの最近の事件と関連付けていませんでしたが、OpenAI が研究者が自社製品をテストできるようにするバグ報奨金プログラムを既に実行していれば、問題はより早く発見されていた可能性があり、データ漏洩は回避された可能性があります。セキュリティ上の欠陥。