Ipinapakilala ang OpenAI Safety Bug Bounty Program

Ngayon, inilulunsad ng OpenAI ang pampublikong program na Safety Bug Bounty⁠(magbubukas sa bagong window) na nakatuon sa pagtukoy ng pang-aabuso sa AI at mga panganib sa kaligtasan sa kabuuan ng aming mga produkto. Habang mabilis na umuunlad ang teknolohiya ng AI, gayon din ang mga posibleng paraan ng maling paggamit dito. Layunin namin na tiyaking manatiling ligtas at secure ang aming mga system laban sa maling paggamit o pang-aabuso na puwedeng humantong sa aktuwal na pinsala. 

Ang bagong program na ito ay magpapalawig sa Security Bug Bounty⁠(magbubukas sa bagong window) ng OpenAI sa pamamagitan ng pagtanggap ng mga isyu na nagdudulot ng makabuluhang panganib ng pang-aabuso at kaligtasan, kahit na hindi natutugunan ang pamantayan para sa kahinaan sa seguridad. Sa pamamagitan ng programa na ito, inaasahan namin ang patuloy na pakikipagtulungan sa mga mananaliksik sa kaligtasan at seguridad para tulungan kaming matukoy at matugunan ang mga isyung hindi saklaw ng mga karaniwang kahinaan sa seguridad pero nagdudulot pa rin ng mga tunay na panganib. Sasailalim ang mga isinumite sa pagsasala ng mga team ng Safety at Security Bug Bounty ng OpenAI, at puwedeng ilipat sa pagitan ng dalawang program depende sa saklaw at pagmamay-ari.

Nakatuon ang bagong program na Safety Bug Bounty⁠(magbubukas sa bagong window) sa mga sitwasyon sa kaligtasan na partikular sa AI na nakalista sa ibaba:

Mga Panganib ng Agentic kabilang ang MCP

• Third-party na prompt injection at paglabas ng data: kapag nagagawang kontrolin ng text ng umaatake ang agent ng biktima (kabilang ang Browser, ChatGPT Agent, at iba pang katulad na agentic na produkto) para malinlang ito na magsagawa ng mapaminsalang aksyon o maglabas ng sensitibong impormasyon ng user. Ang pagkilos ay dapat ma-reproduce nang hindi bababa sa 50% ng oras. 
• Kapag ang agentic na produkto ng OpenAI ay gumagawa ng ipinagbabawal na aksyon sa website ng OpenAI nang maramihan.
• Kapag ang agentic na produkto ng OpenAI ay gumagawa ng anumang posibleng makapaminsalang aksyon na hindi nakalista sa itaas. Ang mga valid na ulat dito ay dapat magpahiwatig ng makatotohanan at materyal na pinsala.
• Dapat sumunod sa mga tuntunin ng serbisyo ng sinumang third-party ang anumang pagsubok sa panganib ng MCP.

Impormasyon sa Pagmamay-ari ng OpenAI

• Mga nabuong output ng modelo na nagbabalik ng proprietary na impormasyon na may kaugnayan sa pangangatwiran.
• Mga kahinaan na naglalantad ng iba pang eksklusibong impormasyon ng OpenAI.

Integridad ng Account at Platform

• Mga kahinaan sa integridad ng account at mga signal ng integridad ng platform, tulad ng pag-iwas sa mga kontrol laban sa automation, pagmamanipula ng mga signal ng tiwala ng account, pag-iwas sa mga paghihigpit, suspensyon, o pagbabawal ng account, at iba pang katulad na isyu.
• Dapat i-report sa Security Bug Bounty⁠(magbubukas sa bagong window) ang mga isyung nagbibigay-daan sa mga user na mag-access ng mga feature, data, o functionality nang lampas sa mga awtorisadong pahintulot.

Bagaman hindi saklaw ng programang ito ang mga jailbreak, pana-panahon kaming nagpapatakbo ng mga pribadong bug bounty campaign na nakatuon sa ilang uri ng pinsala, tulad ng mga isyu sa nilalamang may kaugnayan sa Biorisk sa ChatGPT Agent⁠ at GPT‑5⁠. Inaanyayahan namin ang mga interesadong mananaliksik na mag-apply sa mga programang ito kapag magagamit na ang mga ito. 

Bukod sa mga kategoryang nakalista sa itaas, kung matukoy ng mga mananaliksik ang mga depekto na nagbibigay-daan sa mga direktang landas tungo sa pinsala sa user at mga kongkretong hakbang sa remediation na puwedeng isagawa, puwedeng isaalang-alang ang mga ito na saklaw para sa mga gantimpala ayon sa bawat kaso. Hindi saklaw ng programang ito ang mga pag-iwas sa patakaran sa content na walang napapatunayang epekto sa kaligtasan o pang-aabuso. Halimbawa, hindi saklaw ang mga “jailbreak” na nagreresulta sa paggamit ng modelo ng bastos na wika o pagbabalik ng impormasyong madaling mahanap sa pamamagitan ng mga search engine.

Puwedeng mag-apply sa pamamagitan ng aming program na Safety Bug Bounty⁠(magbubukas sa bagong window) ang mga researcher na interesadong makibahagi. Inaasahan naming makatrabaho ang mga researcher, ethical hacker, at ang komunidad ng kaligtasan at seguridad sa pagsusulong ng isang ligtas na AI ecosystem.