Predstavujeme bezpečnostný program OpenAI Bug Bounty

OpenAI dnes spúšťa verejný program Safety Bug Bounty⁠(otvorí sa v novom okne), ktorý sa zameriava na identifikáciu zneužitia AI a bezpečnostných rizík v našich produktoch. Ako sa technológia AI rýchlo vyvíja, vyvíjajú sa aj potenciálne spôsoby jej zneužitia. Naším cieľom je zabezpečiť, aby naše systémy boli bezpečné a chránené pred zneužitím alebo nesprávnym použitím, ktoré by mohlo spôsobiť skutočnú ujmu. 

Tento nový program doplní program OpenAI Security Bug Bounty⁠(otvorí sa v novom okne) tým, že bude prijímať hlásenia problémov, ktoré predstavujú významné riziká zneužitia a bezpečnosti, aj keď nespĺňajú kritériá bezpečnostnej zraniteľnosti. Prostredníctvom tohto programu sa tešíme na pokračovanie partnerstva s výskumníkmi v oblasti bezpečnosti a ochrany, aby nám pomáhali identifikovať a riešiť problémy, ktoré nespadajú medzi bežné bezpečnostné zraniteľnosti, no stále predstavujú skutočné riziká. Podania budú posudzovať tímy OpenAI pre Safety a Security Bug Bounty a podľa rozsahu a vlastníctva môžu byť presmerované medzi týmito dvoma programami.

Nový program Safety Bug Bounty⁠(otvorí sa v novom okne) sa zameriava na scenáre bezpečnosti špecifické pre umelú inteligenciu uvedené nižšie:

Riziká agentov vrátane MCP

• Vkladanie falošných príkazov tretej strany a únik údajov: keď text útočníka dokáže spoľahlivo prevziať kontrolu nad agentom obete (vrátane prehliadača, ChatGPT agenta a podobných agentických produktov) a oklamať ho, aby vykonal škodlivú akciu alebo prezradil citlivé informácie používateľa. Správanie musí byť reprodukovateľné aspoň v 50 % prípadov. 
• Inteligentný agent OpenAI vykoná nepovolenú akciu na webovej stránke OpenAI vo veľkom rozsahu.
• Produkt OpenAI využívajúci agenta vykoná potenciálne škodlivú činnosť, ktorá nie je uvedená vyššie. Platné hlásenia tu musia uvádzať vierohodnú a podstatnú ujmu.
• Akékoľvek testovanie rizika MCP musí byť v súlade s podmienkami používania akýchkoľvek tretích strán.

Dôverné informácie OpenAI

• Výstupy modelu, ktoré vracajú vlastnícke informácie súvisiace s uvažovaním.
• Zraniteľnosti, ktoré môžu odhaliť ďalšie dôverné informácie OpenAI.

Integrita účtu a platformy

• Zraniteľnosti v integrite účtov a signáloch integrity platformy, ako napríklad obchádzanie kontrol proti automatizácii, manipulácia so signálmi dôveryhodnosti účtu, vyhýbanie sa obmedzeniam, pozastaveniam alebo zákazom účtu a podobné problémy.
• Problémy, ktoré používateľom umožňujú získať prístup k funkciám, údajom alebo funkcionalitám nad rámec oprávnených povolení, by sa mali nahlásiť do programu Security Bug Bounty⁠(otvorí sa v novom okne).

Hoci jailbreaky nespadajú do rozsahu tohto programu, pravidelne organizujeme súkromné kampane bug bounty zamerané na určité typy škôd, ako sú problémy s obsahom súvisiacim s biologickými rizikami v ChatGPT Agent⁠ a GPT‑5⁠. Pozývame záujemcov z radov výskumníkov, aby sa do týchto programov hlásili, keď sa objavia. 

Ak výskumníci identifikujú okrem vyššie uvedených kategórií také nedostatky, ktoré umožňujú priame spôsoby poškodenia používateľov, a konkrétne a realizovateľné kroky na nápravu, môžu sa tieto nedostatky v jednotlivých prípadoch považovať za oprávnené na odmenu. Všeobecné obchádzanie pravidiel pre obsah bez preukázateľného vplyvu na bezpečnosť alebo zneužitie nespadá do rozsahu tohto programu. Napríklad „jailbreaky“, ktoré vedú k tomu, že model používa hrubý jazyk alebo vracia informácie, ktoré sa dajú ľahko nájsť pomocou vyhľadávačov, nespadajú do tohto rozsahu.

Výskumníci, ktorí majú záujem o účasť, sa môžu prihlásiť prostredníctvom nášho programu Safety Bug Bounty⁠(otvorí sa v novom okne). Tešíme sa na spoluprácu s výskumníkmi, etickými hackermi a komunitou odborníkov na bezpečnosť a ochranu pri budovaní bezpečného ekosystému AI.