Yapay zeka araştırma şirketi OpenAI bugün, kayıtlı güvenlik araştırmacılarının ürün hattındaki güvenlik açıklarını keşfetmelerine ve Bugcrowd kitle kaynaklı güvenlik platformu aracılığıyla bunları bildirdikleri için ödeme almalarına olanak tanıyan yeni bir hata ödül programının başlatıldığını duyurdu.
Şirketin bugün açıkladığı gibi, ödüller bildirilen sorunların ciddiyetine ve etkisine dayalıdır ve düşük önem dereceli güvenlik kusurları için 200 ABD Doları ile olağanüstü keşifler için 20.000 ABD Doları arasında değişmektedir.
OpenAI, “OpenAI Bug Bounty Programı, teknolojimizi ve şirketimizi güvende tutmaya katkıda bulunan güvenlik araştırmacılarının değerli içgörülerini takdir etmemizin ve ödüllendirmemizin bir yoludur.” dedi.
“Sizi sistemlerimizde keşfettiğiniz güvenlik açıklarını, hataları veya güvenlik kusurlarını bildirmeye davet ediyoruz. Bulgularınızı paylaşarak, teknolojimizi herkes için daha güvenli hale getirmede çok önemli bir rol oynayacaksınız.”
Bununla birlikte, OpenAI Uygulama Programlama Arayüzü (API) ve ChatGPT yapay zeka sohbet robotu, ödül avcıları için kapsam içi hedefler olsa da, şirket, araştırmacılardan, bir güvenlik etkisi olmadıkça model sorunlarını ayrı bir form aracılığıyla bildirmelerini istedi.
OpenAI, “Model güvenlik sorunları, doğrudan düzeltilebilecek bireysel, ayrı hatalar olmadığından, bir hata ödül programına pek uymaz. Bu sorunları ele almak genellikle önemli araştırma ve daha geniş bir yaklaşım gerektirir.”
“Bu endişelerin doğru bir şekilde ele alındığından emin olmak için, lütfen bunları hata ödül programı aracılığıyla göndermek yerine uygun formu kullanarak bildirin. Bunları doğru yerde bildirmek, araştırmacılarımızın bu raporları modeli iyileştirmek için kullanmalarına olanak tanır.”
Kapsam dışı olan diğer sorunlar, ChatGPT kullanıcılarının OpenAI mühendisleri tarafından uygulanan güvenlik önlemlerini göz ardı etmesi için ChatGPT sohbet botunu kandırmak için kullandıkları jailbreak’leri ve güvenlik atlamalarını içerir.
Geçen ay OpenAI, şirketin platformu tarafından kullanılan Redis istemci açık kaynak kitaplığı hatasındaki bir hatadan sorumlu tuttuğu bir ChatGPT ödeme verisi sızıntısını açıkladı.
Hata nedeniyle ChatGPT Plus aboneleri, abonelik sayfalarında diğer kullanıcıların e-posta adreslerini görmeye başladı. Artan kullanıcı raporları akışının ardından OpenAI, bir sorunu araştırmak için ChatGPT botunu çevrimdışına aldı.
Günler sonra yayınlanan otopsi raporunda şirket, hatanın ChatGPT hizmetinin Plus abonelerinin yaklaşık %1,2’sinin sohbet sorgularını ve kişisel bilgilerini ifşa etmesine neden olduğunu açıkladı.
Açığa çıkan bilgiler arasında abone adları, e-posta adresleri, ödeme adresleri ve kısmi kredi kartı bilgileri yer alıyor.
OpenAI, “Hata, Redis istemci açık kaynak kitaplığı redis-py’de keşfedildi. Hatayı belirlediğimiz anda, sorunu çözmek için Redis bakımcılarına bir yama ile ulaştık,” dedi.
Şirket, bugünkü duyuruyu bu son olayla ilişkilendirmese de, OpenAI’nin araştırmacıların ürünlerini test etmesine izin veren çalışan bir hata ödül programı olsaydı, sorun potansiyel olarak daha önce keşfedilebilirdi ve veri sızıntısı önlenebilirdi. güvenlik kusurları