Hvis du er sikkerhedsforsker, etisk hacker eller teknologientusiast, beder OpenAI om din hjælp. Og det er ikke gratis.
Den 11. april 2023 annoncerede OpenAI et bug bounty-program som en del af dets forpligtelse til at udvikle pålidelige, sikre og avancerede AI-systemer, og alle med de rigtige færdigheder kan potentielt hjælpe ud.
Hvad er OpenAI's Bug Bounty-program?
OpenAI annonceret dets Bug Bounty-program for at tilskynde dem, der bruger deres applikationer, såsom ChatGPT og DALL-E, til at skabe sikre, avancerede og globalt gavnlige AI-systemer.
Enhver, der finder og rapporterer sårbarheder i OpenAIs systemer, vil optjene kontante belønninger, hvilket resulterer i en win-win situation. Mens deltagerne tjener penge, bliver virksomhedens systemer mere sikre.
OpenAI lover at beskytte dig mod forpligtelser eller sanktioner, hvis du følger dets angivne retningslinjer og vil også anerkende indsendelser og afhjælpe validerede sårbarheder omgående. Desuden hævder OpenAI, at det offentligt vil anerkende dit bidrag, hvis det er unikt og fører til en konfiguration eller kodeændring.
Du kan dog ikke afsløre dine sårbarhedsrelaterede fund til offentligheden efter at have indsendt dem.
Det her bug bounty program dækker sårbarheder i alle OpenAI-systemer, inklusive API-mål og nøgler, ChatGPT og forskningsorganisationen. Initiativet dækker dog ikke sikkerhedsproblemer med OpenAIs model, herunder sikkerhedsomgåelser og at få modellen til at skabe ondsindet kode. Derudover vil virksomheden ikke belønne problemer relateret til modelpromptindhold eller svar og AI hallucinationer. Du kan anmelde disse til OpenAI's hold til feedback på modeladfærd.
Hvor meget kan du tjene på OpenAI's Bug Bounty-program?
OpenAI bestemmer de kontante belønninger, der skal betales, baseret på hvor alvorlig og virkningsfuld den opdagede fejl er. Typisk varierer belønningen fra $200 til $6.500 pr. sårbarhed, men kan være højere, hvis dine resultater er usædvanlige og af stor betydning.
Den maksimale belønning, du kan tjene, er $20.000.
I første omgang vil prioritetsniveauet for dit fund, sammen med din belønning, blive bestemt ved hjælp af Bugcrowds sårbarhedsvurderingstaksonomi. Men hvis det finder det nødvendigt, kan dette niveau og din belønning blive ændret af OpenAI.
Derudover vil AI-forskningsfirmaet ikke refundere dig for eventuelle køb eller opgraderinger, du foretager, når du identificerer eller tester for fejl.
Sådan deltager du i OpenAI's Bug Bounty-program
Da Bugcrowd faciliterer dette bug bounty-program, skal du oprette en Bugcrowd-konto for at deltage. OpenAI foreslår endda, at du udfører autoriseret yderligere test ved hjælp af en "@bugcrowdninja.com" e-mailadresse.
Med en Bugcrowd-konto kan du klikke på fanen "Send rapport" på Bugcrowd OpenAI-programside at rapportere sårbarheder. Dette fører dig til indsendelsessiden.
Her skal du udfylde følgende oplysninger:
- En titel, der klart og kort beskriver sårbarheden
- Målet for den opdagede sårbarhed
- Sårbarhedstypen
- Webadressen eller placeringen af sårbarheden
- Beskrivelsen af fejlen og dens virkning
- Proof-of-concept scripts, skærmoptagelser eller vedhæftede filer, der viser fejlen
- Forskerne og samarbejdspartnerne om forelæggelsen
Når du har udfyldt disse detaljer, skal du acceptere Bugcrowds vilkår og betingelser og klikke på "Rapporter sårbarhed".
Bemærk, at du ikke må indsende API-nøgler til Bugcrowd. Du skal kun indsende nøgler, du finder online via OpenAI API nøgleformular.
Hvilke sårbarheder er berettiget til belønninger?
Du vil blive belønnet for enhver sikkerheds-, funktionalitets-, ydeevne- og dokumentationssårbarhed, du finder i api.openai.com, tredjepartsmål, ChatGPT, ChatGPT-plugins, https://openai.org, */openai.org, OpenAI API-nøgler, openai.com, */openai.com og udviklerplatformens legeplads.
Disse omfatter indsprøjtning på serversiden, fejlkonfiguration af serversikkerhed, scripting på tværs af websteder (XSS), usikker OS/firmware, usikker datalagring, forfalskning af anmodninger på tværs af websteder (CSRF) og brudt godkendelse og sessionsstyring.
Alle sårbarhederne skal være i OpenAI's system, udnyttelige og nye.
Tjen penge, mens du forbedrer OpenAIs systemer
OpenAI's bug bounty-program er en fantastisk måde for dig – som en etisk hacker, sikkerhedsforsker eller teknologientusiast – at tjene på, mens du forbedrer firmaets AI-systemer.
Sørg dog for, at du overholder alle specificerede retningslinjer og regler for engagement.
