Hvis du er en sikkerhetsforsker, etisk hacker eller teknologientusiast, ber OpenAI om din hjelp. Og det er ikke gratis.

11. april 2023 kunngjorde OpenAI et bug-bounty-program som en del av sin forpliktelse til å utvikle pålitelige, sikre og avanserte AI-systemer, og alle med de rette ferdighetene kan potensielt hjelpe ute.

Hva er OpenAIs Bug Bounty-program?

OpenAI annonsert Bug Bounty-programmet for å stimulere de som bruker applikasjonene deres, som ChatGPT og DALL-E, til å lage sikre, avanserte og globalt fordelaktige AI-systemer.

Alle som finner og rapporterer sårbarheter i OpenAIs systemer vil tjene pengebelønninger, noe som resulterer i en vinn-vinn-situasjon. Mens deltakerne tjener penger, blir selskapets systemer tryggere.

OpenAI lover å beskytte deg mot forpliktelser eller straffer hvis du følger de angitte retningslinjene, og vil også erkjenne innsendinger og rette opp validerte sårbarheter umiddelbart. Videre hevder OpenAI at det vil offentlig gjenkjenne bidraget ditt hvis det er unikt og fører til en konfigurasjon eller kodeendring.

instagram viewer

Du kan imidlertid ikke avsløre dine sårbarhetsrelaterte funn til offentligheten etter at du har sendt dem.

Dette bug bounty-program dekker sårbarheter i alle OpenAI-systemer, inkludert API-mål og -nøkler, ChatGPT og forskningsorganisasjonen. Initiativet dekker imidlertid ikke sikkerhetsproblemer med OpenAIs modell, inkludert sikkerhetsomkjøringer og å få modellen til å lage ondsinnet kode. I tillegg vil ikke firmaet belønne problemer knyttet til modellinnhold eller svar og AI hallusinasjoner. Du kan rapportere disse til OpenAI sitt team for tilbakemeldinger om modellatferd.

Hvor mye kan du tjene på OpenAIs Bug Bounty-program?

OpenAI bestemmer kontantbelønningene som skal betales basert på hvor alvorlig og virkningsfull den oppdagede feilen er. Vanligvis varierer belønningen fra $200 til $6500 per sårbarhet, men kan være høyere hvis funnene dine er eksepsjonelle og av stor konsekvens.

Den maksimale belønningen du kan tjene er $20 000.

Til å begynne med vil prioritetsnivået for funnet, sammen med belønningen din, bestemmes ved hjelp av Bugcrowds sårbarhetsvurderingstaksonomi. Men hvis den anser det som nødvendig, kan dette nivået og belønningen din bli endret av OpenAI.

I tillegg vil AI-forskningsselskapet ikke refundere deg for kjøp eller oppgraderinger du gjør når du identifiserer eller tester for feil.

Hvordan delta i OpenAIs Bug Bounty Program

Siden Bugcrowd forenkler dette bug-bounty-programmet, må du opprette en Bugcrowd-konto for å delta. OpenAI foreslår til og med at du utfører autorisert tilleggstesting ved å bruke en "@bugcrowdninja.com" e-postadresse.

Med en Bugcrowd-konto kan du klikke på "Send rapport"-fanen på Bugcrowd OpenAI-programside å rapportere sårbarheter. Dette vil føre deg til innsendingssiden.

Her må du fylle inn følgende informasjon:

  1. En tittel som tydelig og kort beskriver sårbarheten
  2. Målet for den oppdagede sårbarheten
  3. Sårbarhetstypen
  4. URL eller plassering av sårbarheten
  5. Beskrivelsen av feilen og dens virkning
  6. Proof-of-concept-skript, skjermopptak eller vedlegg som viser feilen
  7. Forskerne og samarbeidspartnerne på innsendingen

Etter å ha fylt ut disse detaljene, godta Bugcrowds vilkår og betingelser og klikk på "Rapporter sårbarhet".

Merk at du ikke skal sende inn API-nøkler til Bugcrowd. Du må bare sende inn nøkler du finner på nettet gjennom OpenAI API-nøkkelskjema.

Hvilke sårbarheter er kvalifisert for belønninger?

Du vil bli belønnet for sikkerhets-, funksjonalitets-, ytelses- og dokumentasjonssårbarheter du finner i api.openai.com, tredjepartsmål, ChatGPT, ChatGPT-plugins, https://openai.org, */openai.org, OpenAI API-nøkler, openai.com, */openai.com og lekeplass for utviklerplattform.

Disse inkluderer injeksjon på serversiden, feilkonfigurasjon av serversikkerhet, skripting på tvers av nettsteder (XSS), usikker OS/fastvare, usikker datalagring, forespørselsforfalskning på tvers av nettsteder (CSRF), og ødelagt autentisering og øktadministrasjon.

Alle sårbarhetene må være i OpenAIs system, utnyttbare og nye.

Tjen penger mens du forbedrer OpenAIs systemer

OpenAIs bug bounty-program er en fin måte for deg – som en etisk hacker, sikkerhetsforsker eller teknologientusiast – å tjene penger samtidig som du forbedrer firmaets AI-systemer.

Sørg imidlertid for at du overholder alle spesifiserte retningslinjer og engasjementsregler.