Se sei un ricercatore di sicurezza, un hacker etico o un appassionato di tecnologia, OpenAI chiede il tuo aiuto. E non è gratis.
L'11 aprile 2023, OpenAI ha annunciato un programma di bug bounty come parte del suo impegno nello sviluppo sistemi di intelligenza artificiale affidabili, sicuri e avanzati e chiunque abbia le giuste competenze può potenzialmente aiutare fuori.
Cos'è il programma Bug Bounty di OpenAI?
Annunciato OpenAI il suo programma Bug Bounty per incentivare coloro che utilizzano le loro applicazioni, come ChatGPT e DALL-E, a creare sistemi di intelligenza artificiale sicuri, avanzati e globalmente vantaggiosi.
Chiunque trovi e segnali vulnerabilità nei sistemi di OpenAI guadagnerà premi in denaro, risultando in una situazione vantaggiosa per tutti. Mentre i partecipanti guadagnano denaro, i sistemi dell'azienda diventano più sicuri.
OpenAI promette di proteggerti da responsabilità o sanzioni se segui le sue linee guida dichiarate e riconoscerà anche gli invii e risolverà tempestivamente le vulnerabilità convalidate. Inoltre, OpenAI afferma che riconoscerà pubblicamente il tuo contributo se è unico e porta a una modifica della configurazione o del codice.
Tuttavia, non è possibile divulgare al pubblico i risultati relativi alla vulnerabilità dopo averli inviati.
Questo programma di ricompensa bug copre le vulnerabilità in tutti i sistemi OpenAI, inclusi obiettivi e chiavi API, ChatGPT e l'organizzazione di ricerca. Tuttavia, l'iniziativa non copre i problemi di sicurezza con il modello di OpenAI, inclusi i bypass di sicurezza e la creazione di codice dannoso da parte del modello. Inoltre, l'azienda non ricompenserà le questioni relative al contenuto o alle risposte tempestive del modello e Allucinazioni AI. Puoi segnalarli a Il team di OpenAI per il feedback sul comportamento del modello.
Quanto puoi guadagnare dal programma Bug Bounty di OpenAI?
OpenAI determina le ricompense in denaro da pagare in base alla gravità e all'impatto del bug scoperto. In genere, la ricompensa varia da $ 200 a $ 6.500 per vulnerabilità, ma può essere maggiore se i tuoi risultati sono eccezionali e di grande importanza.
La ricompensa massima che puoi guadagnare è di $ 20.000.
Inizialmente, il livello di priorità della tua scoperta, insieme alla tua ricompensa, sarà determinato utilizzando Tassonomia del rating di vulnerabilità di Bugcrowd. Tuttavia, se lo ritiene necessario, questo livello e la tua ricompensa possono essere modificati da OpenAI.
Inoltre, la società di ricerca sull'intelligenza artificiale non ti rimborserà per eventuali acquisti o aggiornamenti effettuati durante l'identificazione o il test dei bug.
Come partecipare al programma Bug Bounty di OpenAI
Poiché Bugcrowd facilita questo programma di bug bounty, devi creare un account Bugcrowd per partecipare. OpenAI suggerisce persino di eseguire test aggiuntivi autorizzati utilizzando un indirizzo e-mail "@bugcrowdninja.com".
Con un account Bugcrowd, puoi fare clic sulla scheda "Invia segnalazione" sul Pagina del programma Bugcrowd OpenAI per segnalare vulnerabilità. Questo ti porterà alla pagina degli invii.
Qui è necessario inserire le seguenti informazioni:
- Un titolo che descriva chiaramente e brevemente la vulnerabilità
- L'obiettivo della vulnerabilità scoperta
- Il tipo di vulnerabilità
- L'URL o la posizione della vulnerabilità
- La descrizione del difetto e il suo impatto
- Script di prova, registrazioni dello schermo o allegati che descrivono il bug
- I ricercatori e collaboratori sulla sottomissione
Dopo aver inserito questi dettagli, accetta i termini e le condizioni di Bugcrowd e fai clic su "Segnala vulnerabilità".
Tieni presente che non devi inviare chiavi API a Bugcrowd. Devi solo inviare le chiavi che trovi online tramite il Modulo chiave API OpenAI.
Quali vulnerabilità sono idonee per i premi?
Sarai ricompensato per qualsiasi vulnerabilità di sicurezza, funzionalità, prestazioni e documentazione che trovi in api.openai.com, obiettivi di terze parti, ChatGPT, plug-in ChatGPT, https://openai.org, */openai.org, chiavi API OpenAI, openai.com, */openai.com e playground della piattaforma per sviluppatori.
Questi includono iniezione lato server, errata configurazione della sicurezza del server, cross Site Scripting (XSS), sistema operativo/firmware non sicuro, archiviazione dati non sicura, falsificazione di richieste cross-site (CSRF) e autenticazione interrotta e gestione delle sessioni.
Tutte le vulnerabilità devono essere nel sistema di OpenAI, sfruttabili e nuove.
Guadagna migliorando i sistemi di OpenAI
Il programma bug bounty di OpenAI è un ottimo modo per te, come hacker etico, ricercatore di sicurezza o appassionato di tecnologia, per guadagnare migliorando i sistemi di intelligenza artificiale dell'azienda.
Tuttavia, assicurati di rispettare tutte le linee guida e le regole di ingaggio specificate.
