在经历一系列安全问题之后,OpenAI推出漏洞赏金计划
2023-4-12 18:48:57 Author: FreeBuf(查看原文) 阅读量:12 收藏

人工智能研究公司 OpenAI 4月11日宣布推出一项新的漏洞赏金计划,允许注册安全研究人员发现其产品线中的漏洞,并通过Bugcrowd众包安全平台报告这些漏洞从而获得报酬。

正如该公司在公告中所说的那样,奖励是基于所报告漏洞的严重性和影响,其范围从200美元到20000美元不等。

OpenAI称,其使命是创建造福所有人类的AI(人工智能)系统,该公司已经大力投资研发,以确保AI系统安全可靠,“然而,与其他复杂技术一样,漏洞和缺陷可能会出现。”

透明度和协作(transparency and collaboration)对解决这一问题至关重要。”OpenAI写道,“这也是为什么我们想要邀请全球的安全研究人员、道德黑客和技术爱好者帮助我们识别和解决系统中的漏洞。我们很乐意为报告符合条件的漏洞的人提供奖励。”

虽然OpenAI应用软件接口(API)及其ChatGPT人工智能聊天机器人也是赏金计划的范围,但该公司要求研究人员通过一个单独的表格报告模型问题,除非它们有安全影响。

OpenAI解释道,模型安全问题并不适合在漏洞赏金计划中使用,因为它们不是可以直接修复的单独、不连续的漏洞。解决这些问题往往涉及大量的研究和更广泛的方法。

“为了确保这些问题得到妥善解决,请使用适当的表格报告它们,而不是通过bug赏金计划提交它们。在正确的地方报告它们,可以让我们的研究人员使用这些报告来改进模型。”

其他不在范围内的问题包括越狱和安全绕过,ChatGPT用户一直在利用这些问题来欺骗ChatGPT聊天机器人,使其无视OpenAI工程师实施的保障措施。

上个月,OpenAI披露了ChatGPT的支付数据泄漏,问题的根源是在于其平台使用的Redis客户端开源库的一个漏洞。

由于这个漏洞,ChatGPT Plus的用户开始在他们的订阅页面上看到其他用户的电子邮件地址。在越来越多的用户报告之后,OpenAI将ChatGPT机器人下线以调查这一问题。

在几天后发表的事后总结中,该公司解释说,这个错误导致ChatGPT服务暴露了大约1.2%的Plus用户的聊天查询和个人信息。暴露的信息包括用户姓名、电子邮件地址、支付地址和部分信用卡信息。

OpenAI的首席执行官Sam Altman随后也对在推特上道歉,公开承认开源库中出现错误,并表示已经修复了错误并完成验证。

但这仍然引起了部分国家监管机构的注意。ChatGPT在欧洲地区遭受“冷遇”。此前3月31日,意大利宣布禁止使用ChatGPT,并限制其开发公司OpenAI处理意大利用户信息。随后,德国、法国和爱尔兰在内的多个国家也纷纷表示考虑“封禁”该技术。

对于意大利的禁令,当地时间4月5日,OpenAI与意大利个人数据保护局举行会议,OpenAI表示愿意与该机构进行合作,以解决其对数据安全的担忧。

虽然该公司没有将今天的公告与最近的事件联系起来,但如果OpenAI已经有一个正在运行的漏洞赏金计划,允许研究人员测试其产品的安全缺陷,那么这个问题就有可能更早被发现,而数据泄漏或许可以被避免。

参考链接:

www.bleepingcomputer.com/news/security/openai-launches-bug-bounty-program-with-rewards-up-to-20k/

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651222070&idx=2&sn=9a62ac96fac25f60cc819f86935ff584&chksm=bd1de2bd8a6a6bab71a2a9ef761d02e949292ba2630733c578e3f7c19a4bccb1861638b6d4ca#rd
如有侵权请联系:admin#unsafe.sh