Danas OpenAI pokreće javni program Safety Bug Bounty(otvara se u novom prozoru) usmjeren na prepoznavanje zlouporabe umjetne inteligencije i sigurnosnih rizika u svim našim proizvodima. Kako se AI tehnologija ubrzano razvija, tako se povećavaju i mogući načini njezine zlouporabe. Naš je cilj osigurati da naši sustavi ostanu sigurni i zaštićeni od nepravilne uporabe ili zlouporabe koje bi mogle dovesti do stvarne štete.
Ovaj novi program nadopunit će OpenAI-jev Security Bug Bounty(otvara se u novom prozoru) prihvaćanjem prijava koje predstavljaju značajne rizike od zlouporabe i rizike za sigurnost, čak i ako ne ispunjavaju kriterije sigurnosne ranjivosti. Kroz ovaj program radujemo se nastavku suradnje s istraživačima iz područja zaštite i sigurnosti kako bi nam pomogli prepoznati i riješiti probleme koji ne spadaju u konvencionalne sigurnosne ranjivosti, ali i dalje predstavljaju stvarne rizike. Prijave će razvrstati OpenAI-jevi sigurnosni timovi Safety i Security Bug Bounty te mogu biti preusmjerene između ta dva programa, ovisno o opsegu i nadležnosti.
Novi program Safety Bug Bounty(otvara se u novom prozoru) usmjeren je na sigurnosne scenarije specifične za AI navedene u nastavku:
Agentski rizici, uključujući MCP
- Ubrizgavanje upita treće strane i izvlačenje podataka: kada tekst napadača može pouzdano preuzeti kontrolu nad agentom 'žrtve' (uključujući preglednik, ChatGPT agenta i slične agentske proizvode) kako bi ga naveo na izvođenje štetne radnje ili otkrivanje osjetljivih podataka korisnika. Ponašanje se mora moći reproducirati u najmanje 50 % slučajeva.
- Agentski OpenAI proizvod izvodi nedopuštenu radnju na OpenAI-jevoj mrežnoj lokaciji u velikom opsegu.
- Agentski OpenAI proizvod izvodi neku potencijalno štetnu radnju koja nije gore navedena. Valjane prijave ovdje moraju ukazivati na vjerojatnu i značajnu štetu.
- Svako testiranje rizika MCP-a mora biti u skladu s uvjetima pružanja usluge bilo koje treće strane.
OpenAI - povjerljive informacije
- Generacije modela koje vraćaju povjerljive informacije povezane s rasuđivanjem.
- Ranjivosti koje izlažu druge vlasničke informacije tvrtke OpenAI.
Integritet platforme i računa
- Ranjivosti u integritetu računa i signalima integriteta platforme, kao što su zaobilaženje kontrola protiv automatizacije, manipuliranje signalima povjerenja računa, izbjegavanje ograničenja/privremena obustava/zabrana računa i slični problemi.
- Probleme koji korisnicima omogućuju pristup programu Security Bug Bounty(otvara se u novom prozoru) treba prijaviti ako im omogućuju pristup značajkama, podacima ili funkcionalnostima izvan njihovih ovlaštenih dopuštenja.
Iako jailbreakovi nisu obuhvaćeni ovim programom, povremeno provodimo privatne bug bounty kampanje usmjerene na određene vrste štete, kao što su problemi s biorizičnim sadržajem u ChatGPT Agentu i modelu GPT‑5. Pozivamo zainteresirane istraživače da se prijave na ove programe kad se pojave.
Izvan gore navedenih kategorija, ako istraživači utvrde propuste koji omogućuju izravne putove do štete za korisnike i konkretne, jasno definirane korake za otklanjanje, oni se mogu smatrati obuhvaćenima programom nagrađivanja od slučaja do slučaja. Opća zaobilaženja pravilnika o sadržaju bez dokazivog utjecaja na sigurnost ili zlouporabu nisu obuhvaćena ovim programom. Primjerice, „zaobilaženja sigurnosnih značajki” koja rezultiraju time da model koristi nepristojan jezik ili vraća informacije koje se lako mogu pronaći putem tražilica nisu obuhvaćena.
Istraživači zainteresirani za sudjelovanje mogu se prijaviti putem našeg programa Safety Bug Bounty(otvara se u novom prozoru). Radujemo se suradnji s istraživačima, etičkim hakerima te zajednicom stručnjaka za sigurnost i zaštitu u nastojanju da izgradimo siguran ekosustav umjetne inteligencije.
