官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
人工智能研究公司 OpenAI 4月11日宣布推出一项新的漏洞赏金计划,允许注册安全研究人员发现其产品线中的漏洞,并通过Bugcrowd众包安全平台报告这些漏洞从而获得报酬。
正如该公司在公告中所说的那样,奖励是基于所报告漏洞的严重性和影响,其范围从200美元到20000美元不等。
OpenAI称,其使命是创建造福所有人类的AI(人工智能)系统,该公司已经大力投资研发,以确保AI系统安全可靠,“然而,与其他复杂技术一样,漏洞和缺陷可能会出现。”
透明度和协作(transparency and collaboration)对解决这一问题至关重要。”OpenAI写道,“这也是为什么我们想要邀请全球的安全研究人员、道德黑客和技术爱好者帮助我们识别和解决系统中的漏洞。我们很乐意为报告符合条件的漏洞的人提供奖励。”
虽然OpenAI应用软件接口(API)及其ChatGPT人工智能聊天机器人也是赏金计划的范围,但该公司要求研究人员通过一个单独的表格报告模型问题,除非它们有安全影响。
OpenAI解释道,"模型安全问题并不适合在漏洞赏金计划中使用,因为它们不是可以直接修复的单独、不连续的漏洞。解决这些问题往往涉及大量的研究和更广泛的方法。
"为了确保这些问题得到妥善解决,请使用适当的表格报告它们,而不是通过bug赏金计划提交它们。在正确的地方报告它们,可以让我们的研究人员使用这些报告来改进模型。"
其他不在范围内的问题包括越狱和安全绕过,ChatGPT用户一直在利用这些问题来欺骗ChatGPT聊天机器人,使其无视OpenAI工程师实施的保障措施。
上个月,OpenAI披露了ChatGPT的支付数据泄漏,问题的根源是在于其平台使用的Redis客户端开源库的一个漏洞。
由于这个漏洞,ChatGPT Plus的用户开始在他们的订阅页面上看到其他用户的电子邮件地址。在越来越多的用户报告之后,OpenAI将ChatGPT机器人下线以调查这一问题。
在几天后发表的事后总结中,该公司解释说,这个错误导致ChatGPT服务暴露了大约1.2%的Plus用户的聊天查询和个人信息。暴露的信息包括用户姓名、电子邮件地址、支付地址和部分信用卡信息。
OpenAI的首席执行官Sam Altman随后也对在推特上道歉,公开承认开源库中出现错误,并表示已经修复了错误并完成验证。
但这仍然引起了部分国家监管机构的注意。ChatGPT在欧洲地区遭受“冷遇”。此前3月31日,意大利宣布禁止使用ChatGPT,并限制其开发公司OpenAI处理意大利用户信息。随后,德国、法国和爱尔兰在内的多个国家也纷纷表示考虑“封禁”该技术。
对于意大利的禁令,当地时间4月5日,OpenAI与意大利个人数据保护局举行会议,OpenAI表示愿意与该机构进行合作,以解决其对数据安全的担忧。
虽然该公司没有将今天的公告与最近的事件联系起来,但如果OpenAI已经有一个正在运行的漏洞赏金计划,允许研究人员测试其产品的安全缺陷,那么这个问题就有可能更早被发现,而数据泄漏或许可以被避免。
参考链接:www.bleepingcomputer.com/news/security/openai-launches-bug-bounty-program-with-rewards-up-to-20k/