Við kynnum OpenAI Safety Bug Bounty
Prófanir á öryggis- og misnotkunarmálum hjá OpenAI
Í dag kynnir OpenAI opinberlega áætlunina Safety Bug Bounty(opnast í nýjum glugga) sem miðar að því að greina misnotkun á gervigreind og öryggisáhættu í vörum okkar. Eftir því sem gervigreindartækni þróast hratt, aukast einnig möguleikarnir á misnotkun hennar. Markmið okkar er að tryggja að kerfi okkar séu örugg og varin gegn misnotkun eða misbeitingu sem gæti valdið áþreifanlegum skaða.
Þessi nýja áætlun verður viðbót við Security Bug Bounty(opnast í nýjum glugga) frá OpenAI og mun taka við málum sem fela í sér verulega misnotkunar- eða öryggisáhættu, jafnvel þótt þau uppfylli ekki skilyrðin fyrir að teljast öryggisveikleiki. Með þessari áætlun hlökkum við til áframhaldandi samstarfs við sérfræðinga á sviði öryggis og verndar til að hjálpa okkur að bera kennsl á og bregðast við málum sem falla utan hefðbundinna öryggisveikleika en fela engu að síður í sér raunverulega áhættu. Innsendingar verða forflokkaðar af Safety og Security Bug Bounty-teymum OpenAI og innsendingum kann að verða vísað á milli þessara tveggja áætlana eftir umfangi og ábyrgð.
Nýja Safety Bug Bounty(opnast í nýjum glugga)-áætlunin einblínir á öryggissviðsmyndir sem tengjast sérstaklega gervigreind og eru taldar upp hér að neðan:
Áhætta tengd fulltrúum, þar með talið MCP
- Kvaðningarvörpun og gagnastuldur af hálfu þriðja aðila: þegar texti frá árásaraðila getur áreiðanlega tekið yfir fulltrúa fórnarlambs (svo sem vafra, ChatGPT‑fulltrúa og svipaðar vörur) til að blekkja hann til að framkvæma skaðlega aðgerð eða leka viðkvæmum upplýsingum notandans. Hegðunin verður að vera hægt að endurskapa í að minnsta kosti 50% tilvika.
- OpenAI-vara sem byggir á fulltrúagervigreind framkvæmir óheimila aðgerð á vefsíðu OpenAI í stórum stíl.
- OpenAI-vara framkvæmir aðgerð sem gæti verið skaðleg og er ekki talin upp hér að ofan. Gildar tilkynningar hér verða að gefa til kynna trúverðugan og verulegan skaða.
- Prófanir vegna MCP-áhættu verða að fylgja þjónustuskilmálum þriðju aðila.
Trúnaðarupplýsingar OpenAI
- Úttak líkana sem skilar einkaleyfisvörðum upplýsingum sem tengjast röksemdafærslu.
- Öryggisveikleikar sem afhjúpa aðrar trúnaðarupplýsingar í eigu OpenAI.
Heiðarleiki reikninga og verkvangs
- Veikleikar í traustmerkjum reikninga og verkvangs, svo sem að komast fram hjá sjálfvirknivörnum, hagræða traustmerkjum reikninga, sniðganga takmarkanir, frestanir eða bönn á reikningum, og sambærileg vandamál.
- Vandamál sem gera notendum kleift að fá aðgang að eiginleikum, gögnum eða virkni umfram heimilaðar aðgangsheimildir ætti að tilkynna til Security Bug Bounty(opnast í nýjum glugga).
Þótt „jailbreaks“ falli utan gildissviðs þessarar áætlunar, efnum við reglulega til einkarekinna Bug Bounty-herferða sem beinast að tilteknum tegundum skaða, svo sem vandamálum vegna lífáhættu í ChatGPT Agent og GPT‑5. Við bjóðum áhugasömum rannsakendum að sækja um þessar áætlanir þegar þær koma upp.
Fyrir utan flokkana sem nefndir eru hér að ofan, ef rannsakendur finna galla sem auðvelda beinar leiðir til skaða fyrir notendur og skýr, afmörkuð úrbótaskref sem hægt er að grípa til, geta slík tilvik verið gjaldgeng til umbunar í hverju tilviki fyrir sig. Almennar sniðgöngur á efnisstefnu án sýnilegra áhrifa á öryggi eða misnotkun eru utan gildissviðs þessa verkefnis. Til dæmis eru „jailbreaks“ sem valda því að líkanið notar dónalegt orðalag eða skilar upplýsingum sem auðvelt er að finna með leitarvélum utan gildissviðs.
Rannsakendur sem hafa áhuga á að taka þátt geta sótt um í gegnum Safety Bug Bounty(opnast í nýjum glugga)-áætlunina okkar. Við hlökkum til að starfa með rannsakendum, siðferðislegum hökkurum og öryggis- og varnarsamfélaginu í leit að öruggu vistkerfi gervigreindar.
