OpenAI推出漏洞賞金計劃，最高獎勵2萬美元

4月11日，OpenAI在其官網發文，宣佈推出關於其基於AI的產品（如ChatGPT）的漏洞賞金計劃，邀請全球白帽駭客協助其識別及解決其人工智慧系統的漏洞，最高獎勵可達2萬美元。

有意向的安全研究人員可以透過Bugcrowd眾包安全平臺提交其發現的OpenAI產品線中的漏洞，並獲得相應報酬。獎勵金額依照漏洞的嚴重程度及影響而定，從低嚴重性安全漏洞的200美元賞金到卓越發現的2萬美元賞金不等。

據瞭解，該漏洞賞金計劃涵蓋的範圍包括OpenAI的API、ChatGPT、與OpenAI相關的第三方企業目標，OpenAI研究組織及其運營的網站、服務和API等。需要注意的是，該計劃針對的是傳統軟體漏洞，而不是人工智慧模型存在的問題。

“模型安全問題不適用於漏洞賞金計劃，因為它們不是可以直接修復的單獨錯誤。解決這些問題通常需要大量的研究和更廣泛的方法。“OpenAI解釋說。

不在懸賞範圍之內的問題包括越獄和安全繞過——許多ChatGPT使用者都嘗試過利用AI的一些缺陷誘騙聊天機器人繞過OpenAI工程師佈置的安全措施。例如：讓模型告訴你如何做壞事、讓模型為你編寫惡意程式碼、讓模型假裝做壞事等等，諸如此類問題都不會獲得金錢獎勵。

Bugcrowd的創始人兼技術長Casey Ellis給予了這次合作非常高的評價，他將駭客稱之為“網際網路的免疫系統”，並且認為這種方法的透明度和問責制將大大有助於繼續在相對較新的市場中建立使用者信任。事實上早先就已經有很多人在憂慮，ChatGPT所帶來的變革完全掩蓋了其潛在的風險，而OpenAI的此舉便是對於大眾擔憂的一次回應。

就在上個月，OpenAI披露了一起ChatGPT資料洩漏事件，當時ChatGPT Plus訂閱者能夠在其訂閱頁面上看到其他使用者的電子郵件地址。在這類使用者報告不斷增加後，OpenAI不得不暫時將ChatGPT機器人下線以調查問題。

在事後釋出的事故分析中，Open解釋說，這個漏洞導致ChatGPT服務暴露了大約1.2%的Plus訂閱者的聊天查詢和個人資訊（包括訂閱者姓名、電子郵件地址、付款地址和部分信用卡資訊）。假如OpenAI更早些邀請研究人員測試其產品的安全漏洞的話，該次資料洩漏說不定就能夠得到避免。

編輯：左右裡

資訊來源：OpenAI、bugcrowd

轉載請註明出處和本文連結