在经历一系列安全问题之后，OpenAI推出漏洞赏金计划

人工智能研究公司 OpenAI 4月11日宣布推出一项新的漏洞赏金计划，允许注册安全研究人员发现其产品线中的漏洞，并通过Bugcrowd众包安全平台报告这些漏洞从而获得报酬。

正如该公司在公告中所说的那样，奖励是基于所报告漏洞的严重性和影响，其范围从200美元到20000美元不等。

OpenAI称，其使命是创建造福所有人类的AI（人工智能）系统，该公司已经大力投资研发，以确保AI系统安全可靠，“然而，与其他复杂技术一样，漏洞和缺陷可能会出现。”

透明度和协作（transparency and collaboration）对解决这一问题至关重要。”OpenAI写道，“这也是为什么我们想要邀请全球的安全研究人员、道德黑客和技术爱好者帮助我们识别和解决系统中的漏洞。我们很乐意为报告符合条件的漏洞的人提供奖励。”

虽然OpenAI应用软件接口（API）及其ChatGPT人工智能聊天机器人也是赏金计划的范围，但该公司要求研究人员通过一个单独的表格报告模型问题，除非它们有安全影响。

OpenAI解释道，模型安全问题并不适合在漏洞赏金计划中使用，因为它们不是可以直接修复的单独、不连续的漏洞。解决这些问题往往涉及大量的研究和更广泛的方法。

“为了确保这些问题得到妥善解决，请使用适当的表格报告它们，而不是通过bug赏金计划提交它们。在正确的地方报告它们，可以让我们的研究人员使用这些报告来改进模型。”

其他不在范围内的问题包括越狱和安全绕过，ChatGPT用户一直在利用这些问题来欺骗ChatGPT聊天机器人，使其无视OpenAI工程师实施的保障措施。

上个月，OpenAI披露了ChatGPT的支付数据泄漏，问题的根源是在于其平台使用的Redis客户端开源库的一个漏洞。

由于这个漏洞，ChatGPT Plus的用户开始在他们的订阅页面上看到其他用户的电子邮件地址。在越来越多的用户报告之后，OpenAI将ChatGPT机器人下线以调查这一问题。

在几天后发表的事后总结中，该公司解释说，这个错误导致ChatGPT服务暴露了大约1.2%的Plus用户的聊天查询和个人信息。暴露的信息包括用户姓名、电子邮件地址、支付地址和部分信用卡信息。

OpenAI的首席执行官Sam Altman随后也对在推特上道歉，公开承认开源库中出现错误，并表示已经修复了错误并完成验证。

但这仍然引起了部分国家监管机构的注意。ChatGPT在欧洲地区遭受“冷遇”。此前3月31日，意大利宣布禁止使用ChatGPT，并限制其开发公司OpenAI处理意大利用户信息。随后，德国、法国和爱尔兰在内的多个国家也纷纷表示考虑“封禁”该技术。

对于意大利的禁令，当地时间4月5日，OpenAI与意大利个人数据保护局举行会议，OpenAI表示愿意与该机构进行合作，以解决其对数据安全的担忧。

虽然该公司没有将今天的公告与最近的事件联系起来，但如果OpenAI已经有一个正在运行的漏洞赏金计划，允许研究人员测试其产品的安全缺陷，那么这个问题就有可能更早被发现，而数据泄漏或许可以被避免。

参考链接：

www.bleepingcomputer.com/news/security/openai-launches-bug-bounty-program-with-rewards-up-to-20k/

精彩推荐