Danas OpenAI pokreće javni program nagrada za sigurnosne greške(otvara se u novom prozoru) usmjeren na identificiranje zloupotrebe AI-ja i sigurnosnih rizika u svim našim proizvodima. Kako se tehnologija umjetne inteligencije ubrzano razvija, tako se razvijaju i potencijalni načini na koje se može zloupotrijebiti. Naš cilj je osigurati da naši sistemi ostanu sigurni i zaštićeni od nepravilne upotrebe ili zloupotrebe koja bi mogla dovesti do stvarne štete.
Ovaj novi program će dopuniti OpenAI-jev Program nagrađivanja za prijavu sigurnosnih propusta(otvara se u novom prozoru) prihvatanjem problema koji predstavljaju značajne rizike od zloupotrebe i po sigurnost, čak i ako ne ispunjavaju kriterije za sigurnosnu ranjivost. Kroz ovaj program, radujemo se nastavku partnerstva sa istraživačima u oblasti sigurnosti i bezbjednosti kako bi nam pomogli da identificiramo i riješimo probleme koji ne spadaju u konvencionalne sigurnosne ranjivosti, ali i dalje predstavljaju stvarne rizike. Prijave će razvrstati OpenAI-jevi timovi za nagrađivanje grešaka za sigurnost i bezbjednost, a mogu biti preusmjerene između ta dva programa ovisno o opsegu i nadležnosti.
Novi program Safety Bug Bounty(otvara se u novom prozoru) fokusira se na sigurnosne scenarije specifične za AI navedene u nastavku:
Rizici povezani s agentima, uključujući MCP
- Ubrizgavanje upita i eksfiltracija podataka od strane treće strane: kada tekst napadača može pouzdano preuzeti kontrolu nad agentom žrtve (uključujući Browser, ChatGPT Agent i slične agentske proizvode) kako bi ga naveo da izvrši štetnu radnju ili otkrije osjetljive informacije korisnika. Ponašanje mora biti reproducibilno u najmanje 50% slučajeva.
- OpenAI proizvod s agentičkim svojstvima izvršava zabranjenu radnju na OpenAI-jevoj web stranici u velikom obimu.
- Neki OpenAI proizvod s agentičkim svojstvima izvršava potencijalno štetnu radnju koja nije navedena iznad. Valjani izvještaji ovdje trebaju ukazivati na vjerovatnu i materijalnu štetu.
- Svako testiranje rizika MCP-a mora biti u skladu s uvjetima korištenja bilo kojih trećih strana.
OpenAI vlasničke informacije
- Generisanja modela koja vraćaju vlasničke informacije povezane s rezonovanjem.
- Ranjivosti koje otkrivaju druge vlasničke informacije OpenAI-a.
Integritet računa i platforme
- Ranjivosti u integritetu računa i signalima integriteta platforme, poput zaobilaženja kontrola protiv automatizacije, manipulacije signalima povjerenja računa, izbjegavanja ograničenja/suspenzija/zabrana računa i sličnih problema.
- Probleme koji korisnicima omogućavaju pristup funkcijama, podacima ili mogućnostima izvan odobrenih dozvola treba prijaviti programu za nagrađivanje sigurnosnih grešaka(otvara se u novom prozoru).
Iako jailbreakovi nisu obuhvaćeni ovim programom, periodično provodimo privatne bug bounty kampanje usmjerene na određene vrste štete, kao što su problemi sa sadržajem povezanim s biorizikom u ChatGPT Agent i GPT‑5. Pozivamo zainteresirane istraživače da se prijave na ove programe kada se pojave.
Izvan gore navedenih kategorija, ako istraživači identificiraju nedostatke koji omogućavaju direktne puteve do štete za korisnike i konkretne, zasebne korake za otklanjanje, oni se mogu razmatrati kao obuhvaćeni za nagrade od slučaja do slučaja. Opća zaobilaženja politike sadržaja bez dokazivog uticaja na sigurnost ili zloupotrebu nisu obuhvaćena ovim programom. Na primjer, “jailbreakovi” koji rezultiraju time da model koristi nepristojan jezik ili vraća informacije koje se lako mogu pronaći putem pretraživača nisu obuhvaćeni.
Istraživači zainteresirani za učešće mogu se prijaviti putem našeg programa Safety Bug Bounty(otvara se u novom prozoru). Radujemo se saradnji s istraživačima, etičkim hakerima i zajednicom za sigurnost i bezbjednost u nastojanju da izgradimo siguran AI ekosistem.
