Si es un investigador de seguridad, un hacker ético o un entusiasta de la tecnología, OpenAI le pide ayuda. Y no es gratis.
El 11 de abril de 2023, OpenAI anunció un programa de recompensas por errores como parte de su compromiso de desarrollar sistemas de IA confiables, seguros y avanzados, y cualquier persona con el conjunto de habilidades adecuado puede ayudar potencialmente afuera.
¿Qué es el programa Bug Bounty de OpenAI?
OpenAI anunciado su Programa Bug Bounty para incentivar a aquellos que usan sus aplicaciones, como ChatGPT y DALL-E, para crear sistemas de inteligencia artificial seguros, avanzados y globalmente beneficiosos.
Cualquiera que encuentre e informe vulnerabilidades en los sistemas de OpenAI obtendrá recompensas en efectivo, lo que dará como resultado una situación en la que todos ganan. Mientras los participantes ganan dinero, los sistemas de la empresa se vuelven más seguros.
OpenAI promete protegerlo de responsabilidades o sanciones si sigue sus pautas establecidas y también reconocerá los envíos y solucionará las vulnerabilidades validadas de inmediato. Además, OpenAI afirma que reconocerá públicamente su contribución si es única y conduce a un cambio de configuración o código.
Sin embargo, no puede divulgar sus hallazgos relacionados con la vulnerabilidad al público después de enviarlos.
Este programa de recompensas por errores cubre vulnerabilidades en todos los sistemas OpenAI, incluidos los objetivos y claves de API, ChatGPT y la organización de investigación. Sin embargo, la iniciativa no cubre los problemas de seguridad con el modelo de OpenAI, incluidas las omisiones de seguridad y hacer que el modelo cree código malicioso. Además, la empresa no recompensará los problemas relacionados con el contenido o las respuestas de los mensajes de modelo y alucinaciones de IA. Puede reportarlos a El equipo de OpenAI para la retroalimentación del comportamiento del modelo.
¿Cuánto puede ganar con el programa Bug Bounty de OpenAI?
OpenAI determina las recompensas en efectivo que se pagarán en función de la gravedad y el impacto del error descubierto. Por lo general, la recompensa oscila entre $200 y $6500 por vulnerabilidad, pero puede ser mayor si sus hallazgos son excepcionales y de gran importancia.
La recompensa máxima que puede ganar es de $ 20,000.
Al principio, el nivel de prioridad de su hallazgo, junto con su recompensa, se determinará utilizando Taxonomía de calificación de vulnerabilidad de Bugcrowd. Sin embargo, si lo considera necesario, OpenAI podrá modificar este nivel y su recompensa.
Además, la empresa de investigación de IA no le reembolsará ninguna compra o actualización que realice al identificar o probar errores.
Cómo participar en el programa Bug Bounty de OpenAI
Dado que Bugcrowd facilita este programa de recompensas por errores, debe crear una cuenta de Bugcrowd para participar. OpenAI incluso sugiere que realice pruebas adicionales autorizadas utilizando una dirección de correo electrónico "@bugcrowdninja.com".
Con una cuenta de Bugcrowd, puede hacer clic en la pestaña "Enviar informe" en la Página del programa Bugcrowd OpenAI para reportar vulnerabilidades. Esto lo llevará a la página de envíos.
Aquí, debe llenar la siguiente información:
- Un título que describa clara y brevemente la vulnerabilidad.
- El objetivo de la vulnerabilidad descubierta
- El tipo de vulnerabilidad
- La URL o ubicación de la vulnerabilidad.
- La descripción de la falla y su impacto.
- Guiones de prueba de concepto, grabaciones de pantalla o archivos adjuntos que representan el error
- Los investigadores y colaboradores en la presentación
Después de completar estos detalles, acepte los términos y condiciones de Bugcrowd y haga clic en "Informar vulnerabilidad".
Tenga en cuenta que no debe enviar claves API a Bugcrowd. Solo debe enviar las claves que encuentre en línea a través del Formulario de clave API de OpenAI.
¿Qué vulnerabilidades son elegibles para las recompensas?
Será recompensado por cualquier vulnerabilidad de seguridad, funcionalidad, rendimiento y documentación que encuentre en api.openai.com, objetivos de terceros, ChatGPT, complementos de ChatGPT, https://openai.org, */openai.org, claves de API de OpenAI, openai.com, */openai.com y zona de juegos de la plataforma para desarrolladores.
Estos incluyen inyección del lado del servidor, mala configuración de seguridad del servidor, secuencias de comandos entre sitios (XSS), sistema operativo/firmware no seguro, almacenamiento de datos no seguro, falsificación de solicitud entre sitios (CSRF) y autenticación y administración de sesiones rotas.
Todas las vulnerabilidades deben estar en el sistema de OpenAI, ser explotables y novedosas.
Gane dinero mientras mejora los sistemas de OpenAI
El programa de recompensas por errores de OpenAI es una excelente manera para que usted, como hacker ético, investigador de seguridad o entusiasta de la tecnología, gane mientras mejora los sistemas de inteligencia artificial de la empresa.
Sin embargo, asegúrese de cumplir con todas las pautas y reglas de compromiso especificadas.