Pokud jste bezpečnostní výzkumník, etický hacker nebo technologický nadšenec, OpenAI vás žádá o pomoc. A není to zadarmo.

11. dubna 2023 OpenAI oznámila program bug bounty jako součást svého závazku vyvíjet spolehlivé, bezpečné a pokročilé systémy umělé inteligence a kdokoli se správnými dovednostmi může potenciálně pomoci ven.

Co je program OpenAI Bug Bounty?

OpenAI oznámil jeho Bug Bounty Program, který motivuje uživatele jejich aplikací, jako je ChatGPT a DALL-E, k vytváření bezpečných, pokročilých a globálně prospěšných systémů umělé inteligence.

Každý, kdo najde a nahlásí zranitelnost v systémech OpenAI, získá peněžní odměny, což má za následek oboustranně výhodnou situaci. Zatímco účastníci vydělávají peníze, systémy společnosti se stávají bezpečnějšími.

OpenAI slibuje, že vás ochrání před závazky nebo sankcemi, pokud se budete řídit jejími stanovenými pokyny, a také potvrdí odeslání a okamžitě opraví ověřená zranitelnost. Kromě toho OpenAI tvrdí, že váš příspěvek veřejně rozpozná, pokud je jedinečný a vede ke změně konfigurace nebo kódu.

Své nálezy související se zranitelností však po jejich odeslání nemůžete zveřejnit.

Tento bug bounty program pokrývá zranitelná místa ve všech systémech OpenAI, včetně cílů a klíčů API, ChatGPT a výzkumné organizace. Iniciativa však nepokrývá bezpečnostní problémy s modelem OpenAI, včetně bezpečnostních obejití a přimět model, aby vytvořil škodlivý kód. Kromě toho společnost nebude odměňovat problémy související s rychlým obsahem nebo reakcemi modelu AI halucinace. Můžete je nahlásit tým OpenAI pro zpětnou vazbu chování modelu.

Kolik můžete vydělat z programu Bug Bounty od OpenAI?

OpenAI určuje peněžní odměny, které mají být vyplaceny, na základě toho, jak závažná a dopadná je objevená chyba. Obvykle se odměna pohybuje od 200 do 6 500 USD za zranitelnost, ale může být vyšší, pokud jsou vaše nálezy výjimečné a mají velký význam.

Maximální odměna, kterou můžete získat, je 20 000 $.

Nejprve se pomocí určí priorita vašeho nálezu spolu s vaší odměnou Taxonomie hodnocení zranitelnosti Bugcrowd. Pokud to však bude považovat za nutné, může OpenAI upravit tuto úroveň a vaši odměnu.

Kromě toho vám společnost zabývající se výzkumem AI neproplatí žádné nákupy nebo upgrady, které provedete při identifikaci nebo testování chyb.

Jak se zúčastnit programu OpenAI Bug Bounty

Protože Bugcrowd usnadňuje tento bug bounty program, musíte si vytvořit účet Bugcrowd, abyste se mohli zúčastnit. OpenAI dokonce navrhuje, abyste provedli další autorizované testování pomocí e-mailové adresy „@bugcrowdninja.com“.

S účtem Bugcrowd můžete kliknout na záložku "Odeslat zprávu" na Stránka programu Bugcrowd OpenAI hlásit zranitelnosti. Tím se dostanete na stránku s odesláním.

Zde musíte vyplnit následující údaje:

  1. Název jasně a stručně popisující zranitelnost
  2. Cíl objevené zranitelnosti
  3. Typ zranitelnosti
  4. Adresa URL nebo umístění chyby zabezpečení
  5. Popis závady a jejího dopadu
  6. Skripty pro ověření konceptu, záznamy obrazovky nebo přílohy zobrazující chybu
  7. Výzkumníci a spolupracovníci na podání

Po vyplnění těchto údajů odsouhlaste podmínky Bugcrowd a klikněte na „Nahlásit chybu“.

Pamatujte, že nemáte odesílat klíče API do Bugcrowd. Musíte odeslat pouze klíče, které najdete online prostřednictvím Formulář klíče OpenAI API.

Které chyby zabezpečení mají nárok na odměny?

Budete odměněni za jakoukoli zranitelnost zabezpečení, funkčnosti, výkonu a dokumentace, kterou najdete na api.openai.com, cílech třetích stran, ChatGPT, pluginech ChatGPT, https://openai.org, */openai.org, klíče API OpenAI, openai.com, */openai.com a hřiště vývojářské platformy.

Patří mezi ně vkládání na straně serveru, chybná konfigurace zabezpečení serveru, cross-site skriptování (XSS), nezabezpečený OS/firmware, nezabezpečené úložiště dat, padělání požadavků napříč stránkami (CSRF) a nefunkční autentizace a správa relací.

Všechny zranitelnosti musí být v systému OpenAI, zneužitelné a nové.

Vydělávejte peníze při zlepšování systémů OpenAI

Program OpenAI na odměňování chyb je pro vás – jako etického hackera, bezpečnostního výzkumníka nebo technologického nadšence – skvělý způsob, jak vydělávat a zároveň zlepšovat firemní systémy umělé inteligence.

Ujistěte se však, že dodržujete všechny stanovené pokyny a pravidla zapojení.