Az OpenAI mesterséges intelligencia kutatólaboratórium bejelentette, hogy bug bounty programot indít a regisztrált biztonsági kutatók számára, akik így pénzjutalom ellenében bejelenthetik az OpenAI termékcsaládban felfedezett sebezhetőségeket. A jutalom a bejelentett hibák súlyosságától, valamint annak hatásaitól függ, így az összeg 200 dollártól egészen 20.000 dollárig terjedhet.
Az OpenAI Bug Bounty Program egy hatékony módja annak, hogy jelentsék a rendszereinkben felfedezett sebezhetőségeket, hibákat vagy biztonsági hiányosságokat – nyilatkozta az OpenAI.
We're launching the OpenAI Bug Bounty Program — earn cash awards for finding & responsibly reporting security vulnerabilities. https://t.co/p1I3ONzFJK
— OpenAI (@OpenAI) April 11, 2023
A The Hacker News cikke alapján érdemes megjegyezni, hogy a program nem terjed ki a modellbiztonsági vagy hallucinációs problémákra, amelyek során a chatbotot például rosszindulatú kód generálására késztetik. A vállalat megjegyezte, hogy „ezeknek a kérdéseknek a kezelése jelentős kutatást igényel”. További tiltott kategóriák a szolgáltatásmegtagadással járó támadások (DoS), az OpenAI API-k brute force-támadása, valamint az adatok megsemmisítésére vagy érzékeny információkhoz való jogosulatlan hozzáférés megszerzésére irányuló bemutatók.
A múlt hónapban adatszivárgás történt a ChatGPT-nél, amelyet a platform által használt Redis kliens nyílt forráskódú könyvtár okozhatott. A felhasználói bejelentések egyre növekvő áradatát követően az OpenAI offline állapotba helyezte a chatbotot, hogy kivizsgálja a problémát. Az incidens után napokkal később közzétett jelentésben a vállalat kifejtette, hogy a hiba miatt egyes ChatGPT Plus előfizetők (körülbelül 1,2%) adatai szivároghattak ki. A hiba miatt a ChatGPT Plus előfizetői láthatták többek között más előfizetők neveit, e-mail címeit és részleges hitelkártyaadatait.
„A hibát a Redis kliens nyílt forráskódú könyvtárában, a redis-py-ben fedezték fel. Amint azonosítottuk a hibát, azonnal megkerestük a Redis karbantartóit, hogy javíthassuk a problémát” – közölte az OpenAI.
Bár a vállalat nem kapcsolta össze a bug bounty program bejelentését az incidenssel, azonban a probléma potenciálisan elkerülhető lett volna, amennyiben az OpenAI-nak már létezett volna hasonló programja, amely lehetővé teszi a kutatók számára, hogy teszteljék a termékeiket.
