(https://i.postimg.cc/wjfWt3w2/OpenAI.png) (https://postimages.org/)
La empresa de investigación de inteligencia artificial OpenAI anunció el lanzamiento de un nuevo programa de recompensas por errores que permite a los investigadores de seguridad registrados descubrir vulnerabilidades en su línea de productos y cobrar por informarlas a través de la plataforma de seguridad colaborativa Bugcrowd.
Como reveló hoy la compañía, las recompensas se basan en la gravedad y el impacto de los problemas informados, y van desde $200 por fallas de seguridad de baja gravedad hasta $20,000 por descubrimientos excepcionales.
"El programa OpenAI Bug Bounty es una forma de reconocer y recompensar los valiosos conocimientos de los investigadores de seguridad que contribuyen a mantener segura nuestra tecnología y nuestra empresa", dijo OpenAI.
"Lo invitamos a informar vulnerabilidades, errores o fallas de seguridad que descubra en nuestros sistemas. Al compartir sus hallazgos, desempeñará un papel crucial para hacer que nuestra tecnología sea más segura para todos".
Sin embargo, si bien la interfaz de programación de aplicaciones (API) OpenAI y su chatbot de inteligencia artificial ChatGPT son objetivos dentro del alcance de los cazarrecompensas, la compañía pidió a los investigadores que informen los problemas del modelo a través de un formulario separado a menos que tengan un impacto en la seguridad.
"Los problemas de seguridad del modelo no encajan bien dentro de un programa de recompensas por errores, ya que no son errores individuales y discretos que se pueden solucionar directamente. Abordar estos problemas a menudo implica una investigación sustancial y un enfoque más amplio", dijo OpenAI.
"Para asegurarse de que estas inquietudes se aborden adecuadamente, infórmelas utilizando el formulario apropiado, en lugar de enviarlas a través del programa de recompensas por errores. Informarlas en el lugar correcto permite a nuestros investigadores usar estos informes para mejorar el modelo".
Otros problemas que están fuera del alcance incluyen jailbreaks y omisiones de seguridad que los usuarios de ChatGPT han estado explotando para engañar al chatbot de ChatGPT para que ignore las medidas de seguridad implementadas por los ingenieros de OpenAI.
(https://i.postimg.cc/W4d50jKv/Open-AI-launches-bug-bounty-program.png) (https://postimages.org/)
El mes pasado, OpenAI reveló una fuga de datos de pago de ChatGPT que la compañía atribuyó a un error en la biblioteca de código abierto del cliente Redis utilizada por su plataforma.
Debido al error, los suscriptores de ChatGPT Plus comenzaron a ver las direcciones de correo electrónico de otros usuarios en sus páginas de suscripción. Tras un flujo cada vez mayor de informes de usuarios, OpenAI desconectó el bot ChatGPT para investigar un problema.
En una autopsia publicada días después, la empresa explicó que el error provocó que el servicio ChatGPT expusiera consultas de chat e información personal de aproximadamente el 1,2 % de los suscriptores de Plus.
La información expuesta incluía nombres de suscriptores, direcciones de correo electrónico, direcciones de pago e información parcial de la tarjeta de crédito.
"El error se descubrió en la biblioteca de código abierto del cliente Redis, redis-py. Tan pronto como identificamos el error, nos comunicamos con los mantenedores de Redis con un parche para resolver el problema", dijo OpenAI.
Si bien la compañía no vinculó el anuncio con este incidente reciente, el problema podría haberse descubierto antes y la fuga de datos podría haberse evitado si OpenAI ya tuviera un programa de recompensas por errores en ejecución que permitiera a los investigadores probar sus productos para fallas de seguridad.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/openai-launches-bug-bounty-program-with-rewards-up-to-20k/