freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

在经历一系列安全问题之后,OpenAI推出漏洞赏金计划
2023-04-12 14:11:20
所属地 上海

人工智能研究公司 OpenAI 4月11日宣布推出一项新的漏洞赏金计划,允许注册安全研究人员发现其产品线中的漏洞,并通过Bugcrowd众包安全平台报告这些漏洞从而获得报酬。

正如该公司在公告中所说的那样,奖励是基于所报告漏洞的严重性和影响,其范围从200美元到20000美元不等。

OpenAI称,其使命是创建造福所有人类的AI(人工智能)系统,该公司已经大力投资研发,以确保AI系统安全可靠。“然而,与其他复杂技术一样,漏洞和缺陷依旧会出现。”

透明度和协作(transparency and collaboration)对解决这一问题至关重要。OpenAI写道,“这也是为什么我们想要邀请全球的安全研究人员、道德黑客和技术爱好者帮助我们识别和解决系统中的漏洞。我们很乐意为报告符合条件的漏洞的人提供奖励。”

虽然OpenAI应用软件接口(API)及其ChatGPT人工智能聊天机器人也是赏金计划的范围,但该公司要求研究人员通过一个单独的表格报告模型问题,除非它们有安全影响。

OpenAI解释道,"模型安全问题并不适合在漏洞赏金计划中使用,因为它们不是可以直接修复的单独、不连续的漏洞。解决这些问题往往涉及大量的研究和更广泛的方法。

"为了确保这些问题得到妥善解决,请使用适当的表格报告它们,而不是通过bug赏金计划提交它们。在正确的地方报告它们,可以让我们的研究人员使用这些报告来改进模型。"

其他不在范围内的问题包括越狱和安全绕过,ChatGPT用户一直在利用这些问题来欺骗ChatGPT聊天机器人,使其无视OpenAI工程师实施的保障措施。

上个月,OpenAI披露了ChatGPT的支付数据泄漏,问题的根源是在于其平台使用的Redis客户端开源库的一个漏洞。

由于这个漏洞,ChatGPT Plus的用户开始在他们的订阅页面上看到其他用户的电子邮件地址。在越来越多的用户报告之后,OpenAI将ChatGPT机器人下线以调查这一问题。

在几天后发表的事后总结中,该公司解释说,这个错误导致ChatGPT服务暴露了大约1.2%的Plus用户的聊天查询和个人信息。暴露的信息包括用户姓名、电子邮件地址、支付地址和部分信用卡信息。

OpenAI的首席执行官Sam Altman随后也对在推特上道歉,公开承认开源库中出现错误,并表示已经修复了错误并完成验证。

但这仍然引起了部分国家监管机构的注意。ChatGPT在欧洲地区遭受“冷遇”。此前3月31日,意大利宣布禁止使用ChatGPT,并限制其开发公司OpenAI处理意大利用户信息。随后,德国、法国和爱尔兰在内的多个国家也纷纷表示考虑“封禁”该技术。

对于意大利的禁令,当地时间4月5日,OpenAI与意大利个人数据保护局举行会议,OpenAI表示愿意与该机构进行合作,以解决其对数据安全的担忧。

虽然该公司没有将今天的公告与最近的事件联系起来,但如果OpenAI已经有一个正在运行的漏洞赏金计划,允许研究人员测试其产品的安全缺陷,那么这个问题就有可能更早被发现,而数据泄漏或许可以被避免。

参考链接:www.bleepingcomputer.com/news/security/openai-launches-bug-bounty-program-with-rewards-up-to-20k/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者