OpenAI 推出漏洞奖励计划,最高赏金2万美元
编译:代码卫士
AI 研究公司 OpenAI 推出新的漏洞奖励计划,允许已注册安全研究员在其产品线中发现漏洞,并通过 Bugcrowd 众包安全平台报告且获得奖励。
OpenAI 公司指出,具体奖励基于所报告问题的严重性和影响程度,奖金从200美元到2万美元不等。该公司指出,“OpenAI 漏洞奖励计划是为了认可并奖励那些保护产品和公司安全的安全研究人员的有价值的洞察力。我们邀请您报告从我们系统中所发现的漏洞、bug 或安全缺陷。通过共享您的研究成果,您为所有人获得更安全的技术起到了关键作用。”
然而,虽然 OpenAI API 及其 ChatGPT 人工智能聊天机器人也涵盖在内,但OpenAI 公司要求研究人员通过另外的一份表单报告模型问题,除非这些问题造成安全影响。该公司指出,“模型安全问题不适用于漏洞奖励计划,因为它们并非单独的、独立的、可被直接修复的 bug。解决这些问题要求开展大量研究以及更加宽泛的方式。为确保这些问题得到正确处理,请填写合适的表单进行报告,而非通过漏洞奖励计划进行提交。在正确的地方报告可使我们的研究员通过这些报告改进模型。” 其它不涵盖的范围包括ChatGPT 用户用来诱骗 ChatGPT 聊天机器人忽略OpenAI 工程师实现的安全防护措施的越狱和安全绕过。
上个月,OpenAI 披露了 ChatGPT 支付卡数据泄露事件,并归咎于 Redis 客户端开源库中的一个漏洞。该漏洞导致 ChatGPT Plus 订阅用户能够在订阅页面中看到其他用户的邮件地址,随着用户报告的增多,OpenAPI 下线 ChatGPT 进行调查。
几天后,OpenAI解释称,该漏洞导致 ChatGPT 服务保护了大约1.2%的 Plus 服务订阅用户的聊天查询和个人信息。被暴露的信息包括订阅用户的姓名、邮件地址、支付地址和部分信用卡信息。OpenAI 公司表示,“该漏洞位于 Redis 客户端开源库 redis-py 中。我们发现该漏洞后,与 Redis 维护人员一起推出补丁,修复该问题。”
虽然 OpenAI 公司并未将这次推出的漏洞奖励计划与该事件相关联,但如果该公司已经设立漏洞奖励计划并允许研究人员对产品中的缺陷进行测试的话,漏洞可能会更早地发现,而数据泄露事件本可避免。
Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等
3·15特辑 | 少侠,可曾听说ChatGPT也有“食品安全问题”?
https://www.bleepingcomputer.com/news/security/openai-launches-bug-bounty-program-with-rewards-up-to-20k/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。