Ak ste bezpečnostný výskumník, etický hacker alebo technologický nadšenec, OpenAI vás žiada o pomoc. A nie je to zadarmo.
Dňa 11. apríla 2023 OpenAI oznámila program bug bounty ako súčasť svojho záväzku rozvíjať spoľahlivé, bezpečné a pokročilé systémy AI a ktokoľvek so správnymi schopnosťami môže potenciálne pomôcť von.
Čo je program OpenAI Bug Bounty?
OpenAI oznámila jeho Bug Bounty Program, aby motivoval tých, ktorí používajú ich aplikácie, ako sú ChatGPT a DALL-E, aby vytvorili bezpečné, pokročilé a globálne prospešné systémy AI.
Každý, kto nájde a nahlási zraniteľné miesta v systémoch OpenAI, získa peňažné odmeny, čo bude mať za následok obojstranne výhodnú situáciu. Zatiaľ čo účastníci zarábajú peniaze, systémy spoločnosti sa stávajú bezpečnejšími.
OpenAI sľubuje, že vás ochráni pred záväzkami alebo sankciami, ak budete postupovať podľa jej uvedených pokynov, a tiež potvrdí odoslania a okamžite opraví overené zraniteľnosti. Okrem toho OpenAI tvrdí, že verejne rozpozná váš príspevok, ak je jedinečný a vedie k zmene konfigurácie alebo kódu.
Svoje zistenia súvisiace so zraniteľnosťou však po ich odoslaní nemôžete zverejniť.
Toto bug bounty program pokrýva zraniteľnosti vo všetkých systémoch OpenAI vrátane cieľov a kľúčov API, ChatGPT a výskumnej organizácie. Iniciatíva sa však nezaoberá bezpečnostnými problémami s modelom OpenAI, vrátane bezpečnostných premostení a prinútenia modelu vytvoriť škodlivý kód. Okrem toho spoločnosť nebude odmeňovať problémy súvisiace s rýchlym obsahom modelu alebo odpoveďami a AI halucinácie. Môžete ich nahlásiť tím OpenAI pre spätnú väzbu modelového správania.
Koľko môžete zarobiť z programu Bug Bounty od OpenAI?
OpenAI určuje peňažné odmeny, ktoré sa majú vyplatiť, na základe závažnosti a dopadu objavenej chyby. Zvyčajne sa odmena pohybuje od 200 do 6 500 USD za zraniteľnosť, ale môže byť vyššia, ak sú vaše zistenia výnimočné a majú veľký význam.
Maximálna odmena, ktorú môžete získať, je 20 000 dolárov.
Najprv sa pomocou určí úroveň priority vášho nálezu spolu s vašou odmenou Taxonómia hodnotenia zraniteľnosti Bugcrowd. Ak to však považuje za potrebné, túto úroveň a vašu odmenu môže OpenAI upraviť.
Okrem toho vám spoločnosť zaoberajúca sa výskumom AI nepreplatí žiadne nákupy alebo inovácie, ktoré vykonáte pri identifikácii alebo testovaní chýb.
Ako sa zúčastniť programu OpenAI Bug Bounty
Keďže Bugcrowd uľahčuje tento bug bounty program, musíte si vytvoriť účet Bugcrowd, aby ste sa mohli zúčastniť. OpenAI dokonca navrhuje, aby ste vykonali autorizované dodatočné testovanie pomocou e-mailovej adresy „@bugcrowdninja.com“.
S účtom Bugcrowd môžete kliknúť na kartu „Odoslať správu“ na stránke Stránka programu Bugcrowd OpenAI nahlásiť zraniteľnosti. Tým sa dostanete na stránku s odoslaním.
Tu musíte vyplniť nasledujúce informácie:
- Názov jasne a stručne popisuje zraniteľnosť
- Cieľ objavenej zraniteľnosti
- Typ zraniteľnosti
- Adresa URL alebo umiestnenie zraniteľnosti
- Popis chyby a jej dopadu
- Skripty na overenie koncepcie, nahrávky obrazovky alebo prílohy zobrazujúce chybu
- Výskumníci a spolupracovníci na podaní
Po vyplnení týchto údajov vyjadrite súhlas s podmienkami Bugcrowd a kliknite na „Nahlásiť chybu zabezpečenia“.
Upozorňujeme, že nemáte odosielať kľúče API spoločnosti Bugcrowd. Musíte odoslať iba kľúče, ktoré nájdete online prostredníctvom stránky Formulár kľúča OpenAI API.
Ktoré chyby zabezpečenia majú nárok na odmeny?
Budete odmenení za akúkoľvek chybu zabezpečenia, funkčnosti, výkonu a dokumentácie, ktorú nájdete na stránkach api.openai.com, ciele tretích strán, ChatGPT, doplnky ChatGPT, https://openai.org, */openai.org, kľúče API OpenAI, openai.com, */openai.com a ihrisko platformy pre vývojárov.
Patria sem vstrekovanie na strane servera, nesprávna konfigurácia zabezpečenia servera, skriptovanie medzi stránkami (XSS), nezabezpečený operačný systém/firmvér, nezabezpečené ukladanie údajov, falšovanie žiadostí medzi stránkami (CSRF) a nefunkčná autentifikácia a správa relácií.
Všetky zraniteľnosti musia byť v systéme OpenAI, zneužiteľné a nové.
Zarábajte peniaze pri zlepšovaní systémov OpenAI
Program bug bounty od OpenAI je pre vás – ako etického hackera, bezpečnostného výskumníka alebo technologického nadšenca – skvelý spôsob, ako zarobiť a zároveň vylepšiť firemné systémy AI.
Uistite sa však, že dodržiavate všetky špecifikované pokyny a pravidlá zapojenia.