日期:
来源:安全客收集编辑:
AI 研究公司 OpenAI 近日宣布启动一项漏洞赏金计划,允许安全研究人员挖掘其产品线中的漏洞,并通过 Bugcrowd 众包安全平台报告漏洞获得报酬。据悉,奖励是根据所报告漏洞的严重性和影响而定的,奖励范围从针对低严重性安全漏洞的 200 美元到针对特殊发现的 20,000 美元不等。OpenAI表示:“ OpenAI Bug Bounty Program 是我们认可和奖励为保护我们的技术和公司安全做出贡献的安全研究人员的宝贵见解的一种方式。 ”值得注意的是, OpenAI 应用程序编程接口 (API) 及其 ChatGPT 人工智能聊天机器人也是赏金猎人的目标范围内,ChatGPT Plus、登录、订阅、OpenAI 创建的插件(浏览、代码解释器)、用户自己创建的插件等功能都在其中。此外,通过 Bugcrowd 众包安全平台运营的漏洞赏金计划还涵盖 API、API 密钥和属于 OpenAI 的其他资产。该公司还对可能通过第三方(例如 Google Workspace、Trello、Jira、Salesforce 和 Stripe)公开的机密 OpenAI 公司信息感兴趣。但该公司同时也要求研究人员通过单独的表格报告ChatGPT模型问题,除非它们对安全有影响。
“模型安全问题不太适合错误赏金计划,因为它们不是可以直接修复的独立、离散的错误。解决这些问题通常需要大量研究和更广泛的方法,”OpenAI 说。“为确保这些问题得到妥善解决,请使用适当的表格报告它们。在正确的地方报告它们可以让我们的研究人员使用这些报告来改进模型。”其他超出范围的问题包括越狱和安全绕过,ChatGPT 用户一直在利用这些问题来诱骗 ChatGPT 聊天机器人忽略 OpenAI 工程师实施的安全措施。 上个月,OpenAI 披露了一起 ChatGPT 支付数据泄露事件, 该公司将其归咎于其平台使用的 Redis 客户端开源库中的一个漏洞。
由于这个漏洞,ChatGPT Plus 订阅者开始在他们的订阅页面上看到其他用户的电子邮件地址。随着越来越多的用户报告,OpenAI 将 ChatGPT 机器人下线以调查问题。在几天后发布的报告中,该公司解释说,该漏洞导致 ChatGPT 服务暴露了大约 1.2% 的 Plus 订阅者的聊天查询和个人信息。暴露的信息包括订户姓名、电子邮件地址、付款地址和部分信用卡信息。“这个漏洞是在 Redis 客户端开源库 redis-py 中发现的。我们联系了 Redis 维护人员,并提供了一个补丁来解决这个问题。”OpenAI 说。虽然该公司没有将漏洞赏金计划的公告与最近的这一事件联系起来,但如果 OpenAI 有一个漏洞赏金计划允许研究人员测试其产品,那么数据泄露事件可能会早些被避免。