Présentation du programme Safety Bug Bounty d’OpenAI

Aujourd’hui, OpenAI lance un programme public Safety Bug Bounty⁠(s'ouvre dans une nouvelle fenêtre) visant à identifier les abus et les risques liés à l’IA sur l’ensemble de ses produits. Alors que la technologie de l'IA évolue rapidement, les façons potentielles d'en faire un usage abusif évoluent elles aussi. Notre objectif est de garantir la sécurité et la sûreté de nos systèmes face aux usages détournés ou abusifs susceptibles d'entraîner des préjudices concrets. 

Ce nouveau programme viendra compléter le programme Security Bug Bounty (récompense pour la découverte de failles de sécurité)⁠(s'ouvre dans une nouvelle fenêtre) d’OpenAI en acceptant des signalements présentant des risques significatifs d’abus et de sécurité, même s’ils ne répondent pas aux critères d’une vulnérabilité de sécurité. Grâce à ce programme, nous nous réjouissons de continuer à collaborer avec des chercheurs en sécurité afin d’identifier et de traiter des problèmes qui ne relèvent pas des vulnérabilités de sécurité classiques mais qui présentent néanmoins des risques réels. Les soumissions seront examinées par les équipes des programmes de récompense pour la découverte de failles de sûreté et de sécurité de l’IA d’OpenAI, et pourront être redirigées entre les deux programmes en fonction du périmètre et des responsabilités.

Le nouveau programme Safety Bug Bounty⁠(s'ouvre dans une nouvelle fenêtre) se concentre sur les scénarios de sécurité propres à l'IA énumérés ci-dessous :

Risques agentifs, y compris MCP

• Attaque par injection d’invite par des tiers et exfiltration de données : lorsqu’un texte malveillant parvient à détourner de manière fiable l’agent d’une victime (y compris Browser, ChatGPT Agent et des produits agentifs similaires) afin de l’inciter à effectuer une action nuisible ou à divulguer des informations sensibles de l’utilisateur. Le comportement doit être reproductible au moins 50 % du temps. 
• Un produit agentif d'OpenAI effectue une action interdite sur le site web d'OpenAI à grande échelle.
• Un produit agentif d'OpenAI effectue une action potentiellement nuisible non mentionnée ci-dessus. Les signalements valides doivent ici démontrer un préjudice plausible et significatif.
• Tout test lié aux risques MCP doit respecter les conditions d’utilisation des tiers concernés.

Informations propriétaires d'OpenAI

• Générations de modèles qui révèlent des informations propriétaires liées au raisonnement.
• Vulnérabilités qui exposent d’autres informations propriétaires d’OpenAI.

Intégrité des comptes et de la plateforme

• Vulnérabilités affectant l’intégrité des comptes et les signaux d’intégrité de la plateforme, telles que le contournement des contrôles anti-automatisation, la manipulation des signaux de confiance des comptes, l’évasion des restrictions/suspensions/interdictions de comptes et des problèmes similaires.
• Les problèmes permettant aux utilisateurs d’accéder à des fonctionnalités, des données ou des capacités au-delà des autorisations prévues doivent être signalés au programme Security Bug Bounty⁠(s'ouvre dans une nouvelle fenêtre).

Bien que les débridages soient hors du périmètre de ce programme, nous organisons périodiquement des campagnes privées de programmes de récompense pour la découverte de failles axées sur certains types de risques, comme les contenus à risque biologique dans ChatGPT Agent⁠ et GPT‑5⁠. Nous invitons les chercheurs intéressés à postuler à ces programmes lorsqu’ils sont proposés. 

En dehors des catégories listées ci-dessus, si des chercheurs identifient des failles qui ouvrent des voies directes vers des préjudices pour les utilisateurs et des mesures correctives concrètes et clairement définies, celles-ci pourront être prises en compte au cas par cas dans le cadre des récompenses. Les contournements généraux des politiques de contenu sans impact démontrable en matière de sécurité ou d’abus sont hors du périmètre de ce programme. Par exemple, les « débridages » qui amènent le modèle à utiliser un langage grossier ou à fournir des informations facilement accessibles via des moteurs de recherche sont hors du périmètre.

Les chercheurs souhaitant participer peuvent postuler via notre programme Safety Bug Bounty⁠(s'ouvre dans une nouvelle fenêtre). Nous nous réjouissons de collaborer avec des chercheurs, des hackers éthiques ainsi qu’avec la communauté de la sécurité dans la poursuite d’un écosystème d’IA sûr.