Als u een beveiligingsonderzoeker, ethisch hacker of technologieliefhebber bent, vraagt OpenAI uw hulp. En het is niet gratis.
Op 11 april 2023 kondigde OpenAI een bountyprogramma voor bugs aan als onderdeel van zijn toewijding aan het ontwikkelen van betrouwbare, veilige en geavanceerde AI-systemen, en iedereen met de juiste vaardigheden kan mogelijk helpen uit.
Wat is het Bug Bounty-programma van OpenAI?
OpenAI aangekondigd het Bug Bounty-programma om degenen die hun applicaties gebruiken, zoals ChatGPT en DALL-E, te stimuleren om veilige, geavanceerde en wereldwijd voordelige AI-systemen te creëren.
Iedereen die kwetsbaarheden in de systemen van OpenAI vindt en rapporteert, verdient geldbeloningen, wat resulteert in een win-winsituatie. Terwijl deelnemers geld verdienen, worden de systemen van het bedrijf veiliger.
OpenAI belooft u te beschermen tegen aansprakelijkheden of boetes als u de vermelde richtlijnen volgt en zal ook inzendingen erkennen en gevalideerde kwetsbaarheden onmiddellijk verhelpen. Bovendien beweert OpenAI dat het uw bijdrage publiekelijk zal erkennen als deze uniek is en leidt tot een configuratie- of codewijziging.
U kunt uw kwetsbaarheidsgerelateerde bevindingen echter niet openbaar maken nadat u ze hebt ingediend.
Dit bug bounty-programma behandelt kwetsbaarheden in alle OpenAI-systemen, inclusief API-doelen en -sleutels, ChatGPT en de onderzoeksorganisatie. Het initiatief dekt echter geen veiligheidskwesties met het OpenAI-model, inclusief veiligheidsomzeilingen en het model ertoe brengen kwaadaardige code te maken. Bovendien zal het bedrijf geen problemen belonen die verband houden met snelle inhoud of reacties van het model en AI-hallucinaties. U kunt deze melden bij Het team van OpenAI voor feedback over modelgedrag.
Hoeveel kunt u verdienen met het Bug Bounty-programma van OpenAI?
OpenAI bepaalt de te betalen geldbeloningen op basis van hoe ernstig en impactvol de ontdekte bug is. Doorgaans varieert de beloning van $ 200 tot $ 6.500 per kwetsbaarheid, maar deze kan hoger zijn als uw bevindingen uitzonderlijk en van groot belang zijn.
De maximale beloning die u kunt verdienen is $ 20.000.
In eerste instantie wordt het prioriteitsniveau van uw bevinding, samen met uw beloning, bepaald met behulp van Bugcrowd's kwetsbaarheidsclassificatietaxonomie. Als het dit echter nodig acht, kan dit niveau en uw beloning worden aangepast door OpenAI.
Bovendien vergoedt het AI-onderzoeksbureau u niet voor aankopen of upgrades die u doet bij het identificeren of testen op bugs.
Hoe deel te nemen aan het Bug Bounty-programma van OpenAI
Omdat Bugcrowd dit bug bounty-programma mogelijk maakt, moet je een Bugcrowd-account aanmaken om deel te nemen. OpenAI stelt zelfs voor dat u geautoriseerde aanvullende tests uitvoert met een "@bugcrowdninja.com" e-mailadres.
Met een Bugcrowd-account kunt u klikken op het tabblad "Rapport indienen" op de Bugcrowd OpenAI-programmapagina kwetsbaarheden te melden. Dit leidt u naar de inzendingspagina.
Hier moet u de volgende gegevens invullen:
- Een titel die duidelijk en kort de kwetsbaarheid omschrijft
- Het doelwit van de ontdekte kwetsbaarheid
- Het type kwetsbaarheid
- De URL of locatie van de kwetsbaarheid
- De beschrijving van de fout en de impact ervan
- Proof-of-concept-scripts, schermopnamen of bijlagen die de bug weergeven
- De onderzoekers en medewerkers op de indiening
Nadat je deze gegevens hebt ingevuld, ga je akkoord met de algemene voorwaarden van Bugcrowd en klik je op 'Kwetsbaarheid melden'.
Merk op dat je geen API-sleutels mag indienen bij Bugcrowd. U dient alleen sleutels in te leveren die u online vindt via de OpenAI API-sleutelformulier.
Welke kwetsbaarheden komen in aanmerking voor beloningen?
U wordt beloond voor elke beveiligings-, functionaliteits-, prestatie- en documentatiekwetsbaarheid die u aantreft in api.openai.com, doelen van derden, ChatGPT, ChatGPT-plug-ins, https://openai.org, */openai.org, OpenAI API-sleutels, openai.com, */openai.com en speeltuin voor ontwikkelaarsplatforms.
Deze omvatten injectie aan de serverzijde, verkeerde configuratie van de serverbeveiliging, cross-site scripting (XSS), onveilig OS/firmware, onveilige gegevensopslag, cross-site verzoek vervalsing (CSRF) en verbroken authenticatie en sessiebeheer.
Alle kwetsbaarheden moeten zich in het systeem van OpenAI bevinden, exploiteerbaar en nieuw zijn.
Verdien geld terwijl u de systemen van OpenAI verbetert
Het bug bounty-programma van OpenAI is een geweldige manier voor jou - als ethische hacker, beveiligingsonderzoeker of techliefhebber - om geld te verdienen terwijl je de AI-systemen van het bedrijf verbetert.
Zorg er echter voor dat u voldoet aan alle gespecificeerde richtlijnen en omgangsregels.