Претставуваме програма на OpenAI за наградување за откривање безбедносни грешки
Тестирање за прашања поврзани со безбедноста и злоупотребата низ OpenAI
Денес OpenAI ја започнува јавната програма за наградување за откривање безбедносни грешки(се отвора во нов прозорец), фокусирана на идентификување на злоупотреба на вештачката интелигенција и безбедносни ризици во нашите производи. Како што брзо се развива технологијата на вештачката интелигенција, така се зголемуваат и можностите за нејзина злоупотреба. Нашата цел е да осигуриме дека нашите системи останат безбедни и сигурни од злоупотреба или неправилна употреба што може да предизвика опиплива штета.
Оваа нова програма ќе ја надополни Програмата за наградување за откривање безбедносни пропусти на OpenAI(се отвора во нов прозорец), прифаќајќи проблеми што претставуваат значителни ризици од злоупотреба и безбедност, дури и ако не ги исполнуваат критериумите за безбедносна ранливост. Преку оваа програма, со нетрпение очекуваме да продолжиме да соработуваме со истражувачи за безбедност и сигурност, за да ни помогнат да ги идентификуваме и решиме проблемите што не спаѓаат во рамките на конвенционалните безбедносни пропусти, но сепак претставуваат реални ризици. Поднесоците ќе бидат разгледани од тимовите на OpenAI за безбедност и сигурност во програмата за наградување за откривање грешки и може да бидат пренасочени меѓу двете програми, во зависност од опсегот и надлежноста.
Новата Програма за наградување за откривање безбедносни грешки(се отвора во нов прозорец) се фокусира на сценарија за безбедност специфични за вештачката интелигенција, наведени подолу:
Агентски ризици, вклучувајќи го и MCP
- Вметнување злонамерни инструкции во промпт од трети лица и ексфилтрација на податоци: кога текст од напаѓач може сигурно да го преземе агентот на жртвата (вклучувајќи Browser, ChatGPT агент и слични агентски производи) за да го измами да изврши штетно дејство или да открие чувствителни информации на корисникот. Однесувањето мора да може да се репродуцира најмалку 50% од времето.
- Производ на OpenAI со агентски карактеристики извршува недозволено дејство на веб-страницата на OpenAI во голем обем.
- Агентски производ на OpenAI извршува некое потенцијално штетно дејство што не е наведено погоре. Валидните пријави овде мора да укажуваат на веројатна и значителна штета.
- Секое тестирање за ризик од MCP мора да биде во согласност со условите за користење на трети страни.
Сопственички информации на OpenAI
- Генерирања од модели што враќаат доверливи информации поврзани со расудување.
- Ранливости што откриваат други сопствени информации на OpenAI.
Интегритет на платформата и корисничките сметки
- Ранливости во интегритетот на сметките и сигналите за интегритет на платформата, како што се заобиколување на контролите против автоматизација, манипулирање со сигналите за доверба на сметката, избегнување на ограничувања/суспензии/забрани на сметката и слични проблеми.
- Проблемите што им овозможуваат на корисниците пристап до функции, податоци или функционалности надвор од нивните овластени дозволи треба да се пријават во програмата за наградување за откривање безбедносни грешки(се отвора во нов прозорец).
Иако пробивањата не се опфатени со оваа програма, периодично спроведуваме приватни кампањи за наградување за откривање грешки фокусирани на одредени типови на штета, како што се проблеми со содржина поврзана со биоризик во ChatGPT Agent и GPT‑5. Ги покануваме заинтересираните истражувачи да аплицираат за овие програми кога ќе се појават.
Надвор од категориите наведени погоре, доколку истражувачите идентификуваат недостатоци што овозможуваат директни патишта до нанесување штета за корисниците и конкретни, одделни чекори за отстранување, тие може да се земат предвид за награди врз основа на поединечни случаи. Општите заобиколувања на политиките за содржина без докажливо влијание врз безбедноста или злоупотребата не спаѓаат во опсегот на оваа програма. На пример, „пробивањата“ што резултираат во тоа што моделот да користи груб јазик или да враќа информации што лесно може да се најдат преку пребарувачи, се надвор од опсегот.
Истражувачите заинтересирани за учество можат да аплицираат преку нашата Програма за наградување за откривање безбедносни грешки(се отвора во нов прозорец). Со нетрпение очекуваме да работиме заедно со истражувачите, етичките хакери и заедницата за безбедност во стремежот кон сигурен екосистем за вештачка интелигенција.
