Компания OpenAI, стоящая за ИИ чат-ботом ChatGPT, объявила о запуске программы вознаграждения за обнаружение уязвимостей. Исследователям обещают выплачивать до 20 000 долларов за уязвимости, найденные в ChatGPT, других продуктах и активах OpenAI.
Зарегистрированные ИБ-исследователи смогут искать баги в продуктовой линейке производителя и получать вознаграждения за сообщение о них через краудсорсинговую платформу Bugcrowd. Размер вознаграждения будет зависеть от серьезности и потенциального влияния обнаруженных проблем, варьируясь от 200 долларов за незначительные ошибки до 20 000 долларов за крайне серьезные уязвимости.
Несмотря на то, что OpenAI Application Programming Interface (API) и чат-бот ChatGPT являются частью bug bounty программы, компания просит исследователей сообщать о проблемах ИИ чат-бота через отдельную форму, если ошибки не влияют на безопасность.
«Проблемы безопасности языковой модели не очень хорошо вписываются в bug bounty программу, поскольку не являются отдельными, обособленными ошибками, которые можно исправить напрямую. Решение этих проблем часто требует серьезных исследований и более широкого подхода, — говорится в сообщении OpenAI. — Чтобы убедиться, что эти проблемы устранены должным образом, сообщите о них, используя специальную форму , а не отправляйте их через bug bounty программу. Сообщая о них должным образом, вы позволите нашим исследователям использовать эти отчеты для улучшения модели».
Другие проблемы, которые выходят за рамки программы вознаграждений, включают джейлбрейки и обходы мер безопасности, которые пользователи ChatGPT применяют, чтобы заставить чат-бота ChatGPT игнорировать правила, заданные инженерами OpenAI.
Напомню, что в прошлом месяце пользователи Chat-GPT пострадали от утечки данных, в ходе которой пользователи видели чужие запросы к ИИ, а также некоторые подписчики ChatGPT Plus видели личные данные других людей включая имя подписчика, адрес электронной почты, платежный адрес, а также последние четыре цифры номера банковской карты и дату истечения срока ее действия.
Как выяснилось позднее, этот сбой произошел из-за ошибки клиентской опенсорсной библиотеки Redis. Хотя компания не связывает запуск bug bounty программы с этим инцидентом, вероятно, проблему, из-за которой произошла утечка, можно было обнаружить раньше, и утечки удалось бы избежать.