OpenAI Safety Bug Bounty хөтөлбөрийг танилцуулж байна

Өнөөдөр OpenAI нь бүтээгдэхүүнүүдийнхээ хүрээнд AI-ийн урвуулан ашиглалт болон аюулгүй байдлын эрсдэлийг илрүүлэхэд чиглэсэн олон нийтэд нээлттэй Safety Bug Bounty⁠(шинэ цонхонд нээгдэнэ) хөтөлбөрийг эхлүүлж байна. AI технологи хурдацтай хөгжихийн хэрээр түүнийг буруугаар ашиглах боломжит арга замууд ч мөн хувьсан өөрчлөгдөж байна. Бидний зорилго бол бодит хор хохиролд хүргэж болзошгүй буруу хэрэглээ, урвуулан ашиглалтаас хамгаалан системүүдээ аюулгүй, найдвартай хэвээр байлгах явдал юм.

Энэ шинэ хөтөлбөр нь OpenAI-ийн Security Bug Bounty⁠(шинэ цонхонд нээгдэнэ)-г нөхөж, аюулгүй байдлын эмзэг байдлын шалгуурыг хангахгүй байсан ч урвуулан ашиглалт болон аюулгүй байдлын бодит эрсдэл үүсгэж буй асуудлуудыг хүлээн авна. Энэхүү хөтөлбөрөөр дамжуулан уламжлалт аюулгүй байдлын эмзэг байдлын ангилалд багтахгүй ч бодит эрсдэл дагуулдаг асуудлуудыг илрүүлж, шийдвэрлэхэд туслахын тулд аюулгүй байдал, хамгаалалтын судлаачидтай хамтран ажилласаар байхыг бид тэсэн ядан хүлээж байна. Илгээмжүүдийг OpenAI-ийн Safety болон Security Bug Bounty багууд ангилж шалгах бөгөөд хамрах хүрээ, хариуцлагаас шалтгаалан хоёр хөтөлбөрийн хооронд шилжүүлж болно.

Шинэ Safety Bug Bounty⁠(шинэ цонхонд нээгдэнэ) хөтөлбөр нь доор жагсаасан AI-д онцгой хамаарах аюулгүй байдлын нөхцөлүүдэд төвлөрнө:

MCP-ийг багтаасан агентын эрсдэлүүд

• Гуравдагч талын зааварт халдлага ба өгөгдөл гадагш алдагдуулах: халдагчийн текст нь хохирогчийн агентыг (Browser, ChatGPT Agent болон ижил төрлийн агент бүтээгдэхүүнүүдийг оролцуулан) тогтмол булаан авч, хортой үйлдэл хийлгэх эсвэл хэрэглэгчийн нууц мэдээллийг алдагдуулахад хуурч чаддаг байх. Энэ үйлдэл нь дор хаяж 50% тохиолдолд давтагдан батлагддаг байх ёстой.
• OpenAI-ийн агент бүтээгдэхүүн OpenAI-ийн вэбсайт дээр зөвшөөрөгдөөгүй үйлдлийг өргөн хүрээнд гүйцэтгэдэг.
• OpenAI-ийн агент бүтээгдэхүүн дээр дурдсанаас өөр, хохирол учруулж болзошгүй ямар нэгэн үйлдэл гүйцэтгэдэг. Энд хүчинтэй тайлан нь бодитой, мэдэгдэхүйц хор хохирлыг заавал харуулах ёстой.
• MCP эрсдэлийн аливаа тест нь аливаа гуравдагч талын үйлчилгээний нөхцөлийг мөрдөх ёстой.

OpenAI-ийн өмчийн мэдээлэл

• Сэтгэн бодохтой холбоотой өмчийн мэдээллийг буцаадаг загварын үүсгэлтүүд.
• OpenAI-ийн бусад өмчийн мэдээллийг ил болгодог эмзэг байдал.

Бүртгэл ба платформын бүрэн бүтэн байдал

• Бүртгэлийн бүрэн бүтэн байдал болон платформын бүрэн бүтэн байдлын дохиотой холбоотой эмзэг байдал, тухайлбал автоматжуулалтын эсрэг хяналтыг тойрох, бүртгэлийн итгэлийн дохиог өөрчлөх, бүртгэлийн хязгаарлалт/түдгэлзүүлэлт/хоригийг тойрох болон төстэй асуудлууд.
• Хэрэглэгчдэд зөвшөөрөгдсөн эрхээс давсан боломж, өгөгдөл эсвэл функцэд хандах боломж олгодог асуудлыг Security Bug Bounty⁠(шинэ цонхонд нээгдэнэ)-д мэдээлэх ёстой.

Jailbreak-ууд энэ хөтөлбөрийн хамрах хүрээнээс гадуур боловч бид тодорхой төрлийн хор хохиролд чиглэсэн хаалттай bug bounty аяныг үе үе явуулдаг. Үүнд ChatGPT Agent⁠ болон GPT‑5⁠-ын биологийн эрсдэлийн агуулгын асуудлууд багтана. Сонирхсон судлаачдыг ийм хөтөлбөрүүд гарах үед нь өргөдөл гаргахыг урьж байна.

Дээр жагсаасан ангиллуудаас гадна, хэрэв судлаачид хэрэглэгчид шууд хор хохирол учруулах замыг хялбарчилдаг доголдол болон хэрэгжүүлэх боломжтой, тодорхой засварын алхмуудыг олж илрүүлбэл шагналын хамрах хүрээнд тохиолдол тус бүрээр авч үзэж болно. Аюулгүй байдал эсвэл урвуулан ашиглалтын нөлөөлөл нь нотлогдоогүй контентын бодлогыг ерөнхийд нь тойрсон аргачлалууд нь энэ хөтөлбөрийн хамрах хүрээнээс гадуур байна. Жишээлбэл, загвар бүдүүлэг үг хэллэг хэрэглэх эсвэл хайлтын системээр амархан олддог мэдээлэл буцаахад хүргэдэг “jailbreak” нь хамрах хүрээнээс гадуур.

Оролцох сонирхолтой судлаачид манай Safety Bug Bounty⁠(шинэ цонхонд нээгдэнэ) хөтөлбөрөөр дамжуулан өргөдөл гаргаж болно. Аюулгүй AI экосистемийг бий болгохын төлөө судлаачид, ёс зүйтэй хакерууд болон аюулгүй байдал, хамгаалалтын хамтын нийгэмлэгтэй мөр зэрэгцэн ажиллахыг бид тэсэн ядан хүлээж байна.