Компания OpenAI увеличила максимальный размер вознаграждения за уязвимости до 100 000 долларов (с 20 000 долларов), так как планирует передать на аутсорсинг обнаружение критически важных уязвимостей в своей инфраструктуре и продуктах.
Новая программа вознаграждений является частью комплекса инициатив OpenAI в области безопасности, включающего в себя финансирование исследовательских проектов в области безопасности, постоянное проведение red teaming-тестов и взаимодействие с опенсорсными сообществами.
В дополнение к более высоким выплатам за критические баги, OpenAI сообщила, что в течение ограниченного времени будет проводить бонусные акции, которые будут распространяться на отчеты, отвечающие всем стандартам и требованиям.
«Во время таких акций исследователи, которые представят соответствующие отчеты в определенных категориях, будут иметь право на дополнительные бонусы», — говорят представители компании.
Например, до 30 апреля OpenAI удваивает выплаты исследователям, которые сообщат об уязвимостях Insecure Direct Object Reference (IDOR) в инфраструктуре и продуктах, установив максимальное вознаграждение в размере 13 000 долларов США.
Также OpenAI объявила о расширении программы Cybersecurity Grant Program, которая уже профинансировала 28 исследовательских инициатив с момента ее запуска в 2023 году. В OpenAI сообщили, что проекты, получившие финансирование, посвящены таким вопросам, как инъекции промптов, генерация безопасного кода и разработка автономных защитных систем кибербезопасности.
Теперь к участию в программе приглашают специалистов, которые занимаются проектами по исправлению ПО, конфиденциальности моделей, обнаружению угроз и реагированию на них, интеграции систем безопасности и устойчивости перед сложными атаками.
Также OpenAI сообщила о запуске микрогрантов, которые будут выдаваться в виде API-кредитов, что должно помочь исследователям быстро разрабатывать прототипы креативных решений.
Напомним, что bug bounty программа OpenAI была запущена в 2023 году, и размер максимальной выплаты за критические баги составлял 20 000 долларов США.
Запуск программы вознаграждений состоялся через месяц после крупной утечки данных пользователей ChatGPT. Тогда люди могли видеть чужие запросы к чат-боту, а также некоторые подписчики ChatGPT Plus видели личные данные других пользователей, включая имя подписчика, адрес электронной почты, платежный адрес и даже последние четыре цифры номера банковской карты и дату истечения срока ее действия. Как выяснилось позднее, проблема возникла из-за ошибки клиентской опенсорсной библиотеки Redis.
