Memperkenalkan program Safety Bug Bounty dari OpenAI

Hari ini, OpenAI meluncurkan program Safety Bug Bounty⁠(terbuka di jendela baru) publik yang berfokus pada identifikasi penyalahgunaan AI dan risiko keamanan di seluruh produk kami. Seiring dengan berkembang pesatnya teknologi AI, potensi cara penyalahgunaannya pun ikut berkembang. Tujuan kami adalah memastikan sistem kami tetap aman dan terlindungi dari penyalahgunaan atau penyimpangan penggunaan yang dapat menyebabkan bahaya nyata. 

Program baru ini akan melengkapi Security Bug Bounty⁠(terbuka di jendela baru) OpenAI dengan menerima masalah yang menimbulkan risiko penyalahgunaan dan keamanan yang signifikan, meskipun masalah tersebut tidak memenuhi kriteria sebagai kerentanan keamanan. Melalui program ini, kami sangat menantikan untuk terus bermitra dengan para peneliti keamanan model dan keamanan sistem guna membantu kami mengidentifikasi dan menangani masalah yang berada di luar kerentanan keamanan konvensional tetapi tetap menimbulkan risiko nyata. Laporan akan ditinjau dan diprioritaskan oleh tim Safety dan Security Bug Bounty dari OpenAI, dan dapat dialihkan di antara kedua program tersebut bergantung pada cakupan dan kepemilikan.

Program Safety Bug Bounty⁠(terbuka di jendela baru) yang baru berfokus pada skenario keamanan khusus AI yang tercantum di bawah ini:

Risiko Agentik termasuk MCP

• Injeksi prompt dan eksfiltrasi data oleh pihak ketiga: ketika teks penyerang dapat secara andal mengambil alih agen korban (termasuk Browser, ChatGPT Agent, dan produk agen serupa) untuk mengelabuinya agar melakukan tindakan berbahaya atau membocorkan informasi sensitif pengguna. Perilaku tersebut harus dapat direproduksi setidaknya 50% dari waktu. 
• Sebuah produk agentik OpenAI melakukan tindakan yang tidak diizinkan di situs web OpenAI dalam skala besar.
• Sebuah produk agentik OpenAI melakukan tindakan yang berpotensi membahayakan yang tidak tercantum di atas. Laporan yang valid di sini harus menunjukkan kerugian yang masuk akal dan bersifat material.
• Setiap pengujian untuk risiko MCP harus mematuhi ketentuan layanan pihak ketiga mana pun.

Informasi Kepemilikan OpenAI

• Generasi model yang mengembalikan informasi kepemilikan terkait dengan penalaran.
• Kerentanan yang mengekspos informasi kepemilikan OpenAI lainnya.

Integritas Akun dan Platform

• Kerentanan dalam integritas akun dan sinyal integritas platform, seperti melewati kontrol anti-otomatisasi, memanipulasi sinyal kepercayaan akun, menghindari pembatasan/penangguhan/pelarangan akun, dan masalah serupa.
• Masalah yang memungkinkan pengguna mengakses fitur, data, atau fungsionalitas di luar izin yang diberikan harus dilaporkan ke Security Bug Bounty⁠(terbuka di jendela baru).

Meskipun jailbreak tidak termasuk dalam cakupan program ini, kami secara berkala menjalankan kampanye bug bounty privat yang berfokus pada jenis bahaya tertentu, seperti masalah konten Biorisiko di ChatGPT Agent⁠ dan GPT‑5⁠. Kami mengundang para peneliti yang tertarik untuk mendaftar ke program-program ini saat program-program tersebut tersedia. 

Di luar kategori yang tercantum di atas, apabila peneliti mengidentifikasi kelemahan yang membuka jalur langsung terhadap potensi kerugian bagi pengguna serta langkah perbaikan yang konkret dan dapat ditindaklanjuti, temuan tersebut dapat dipertimbangkan dalam cakupan program untuk pemberian imbalan berdasarkan penilaian kasus per kasus. Pelanggaran umum terhadap kebijakan konten tanpa dampak keamanan atau penyalahgunaan yang dapat dibuktikan tidak termasuk dalam cakupan program ini. Sebagai contoh, “jailbreaks” yang menyebabkan model menggunakan bahasa yang kasar atau menghasilkan informasi yang mudah ditemukan melalui mesin pencari tidak termasuk dalam cakupan program.

Peneliti yang tertarik untuk berpartisipasi dapat mendaftar melalui program Safety Bug Bounty⁠(terbuka di jendela baru) kami. Kami sangat menantikan untuk bekerja sama dengan para peneliti, peretas yang beretika, serta komunitas keamanan model dan keamanan sistem dalam upaya mewujudkan ekosistem AI yang aman.