Predstavljamo OpenAI Safety Bug Bounty program

Danas OpenAI pokreće javni program Safety Bug Bounty⁠(отвара се у новом прозору) usmeren na identifikaciju zloupotrebe AI-ja i bezbednosnih rizika u našim proizvodima. Kako se AI tehnologija ubrzano razvija, tako se razvijaju i potencijalni načini njene zloupotrebe. Naš cilj je da obezbedimo da naši sistemi ostanu bezbedni i sigurni od pogrešne upotrebe ili zloupotrebe koja bi mogla dovesti do konkretne štete.

Ovaj novi program dopunjuje OpenAI-jev Security Bug Bounty⁠(отвара се у новом прозору) tako što prihvata prijave problema koji predstavljaju značajne rizike od zloupotrebe i bezbednosne rizike, čak i kada ne ispunjavaju kriterijume za bezbednosnu ranjivost. Kroz ovaj program radujemo se nastavku saradnje sa istraživačima bezbednosti i sigurnosti kako bismo identifikovali i rešili probleme koji ne spadaju u konvencionalne bezbednosne ranjivosti, ali i dalje predstavljaju stvarne rizike. Prijave će razmatrati OpenAI-jevi timovi za Safety i Security Bug Bounty, a mogu biti preusmerene između ova dva programa u zavisnosti od opsega i nadležnosti.

Novi program Safety Bug Bounty⁠(отвара се у новом прозору) fokusira se na AI-specifične bezbednosne scenarije navedene u nastavku:

Rizici agenata, uključujući MCP

• Umetanje instrukcije treće strane i eksfiltracija podataka: kada tekst napadača može pouzdano da preuzme kontrolu nad agentom žrtve (uključujući Browser, ChatGPT Agent i slične agentske proizvode) kako bi ga naveo da izvrši štetnu radnju ili otkrije osetljive informacije korisnika. Ponašanje mora biti ponovljivo u najmanje 50% slučajeva.
• OpenAI-jev agentski proizvod u velikom obimu izvršava nedozvoljenu radnju na OpenAI-jevoj veb-lokaciji.
• OpenAI-jev agentski proizvod izvršava neku potencijalno štetnu radnju koja nije navedena iznad. Validne prijave ovde moraju ukazivati na verovatnu i materijalnu štetu.
• Svako testiranje MCP rizika mora biti u skladu sa uslovima korišćenja svih trećih strana.

OpenAI-jeve poverljive informacije

• Generisanja modela koja vraćaju poverljive informacije povezane sa rezonovanjem.
• Ranjivosti koje otkrivaju druge OpenAI-jeve poverljive informacije.

Integritet naloga i platforme

• Ranjivosti u integritetu naloga i signalima integriteta platforme, kao što su zaobilaženje kontrola protiv automatizacije, manipulisanje signalima poverenja naloga, izbegavanje ograničenja/suspenzija/zabrana naloga i slični problemi.
• Probleme koji korisnicima omogućavaju pristup funkcijama, podacima ili mogućnostima izvan odobrenih dozvola treba prijaviti programu Security Bug Bounty⁠(отвара се у новом прозору).

Iako jailbreakovi ne spadaju u opseg ovog programa, povremeno sprovodimo privatne bug bounty kampanje usmerene na određene vrste štete, kao što su problemi sa biorizikom u sadržaju u okviru ChatGPT Agent⁠ i GPT‑5⁠. Pozivamo zainteresovane istraživače da se prijave za ove programe kada budu dostupni.

Van gore navedenih kategorija, ako istraživači identifikuju nedostatke koji olakšavaju direktne puteve do štete po korisnike i nude primenljive, konkretne korake za otklanjanje, oni mogu biti uzeti u razmatranje za nagrade od slučaja do slučaja. Opšta zaobilaženja smernica o sadržaju bez dokazivog uticaja na bezbednost ili zloupotrebu ne spadaju u opseg ovog programa. Na primer, „jailbreakovi“ koji dovedu do toga da model koristi grub jezik ili vraća informacije koje se lako mogu pronaći putem pretraživača ne spadaju u opseg.

Istraživači zainteresovani za učešće mogu da se prijave preko našeg programa Safety Bug Bounty⁠(отвара се у новом прозору). Radujemo se saradnji sa istraživačima, etičkim hakerima i zajednicom za bezbednost i sigurnost u nastojanju da izgradimo bezbedan AI ekosistem.