Se você é um pesquisador de segurança, hacker ético ou entusiasta de tecnologia, a OpenAI está pedindo sua ajuda. E não é de graça.
Em 11 de abril de 2023, a OpenAI anunciou um programa de recompensas por bugs como parte de seu compromisso de desenvolver sistemas de IA confiáveis, seguros e avançados, e qualquer pessoa com o conjunto de habilidades certo pode ajudar fora.
O que é o programa de recompensas de bugs da OpenAI?
OpenAI anunciado seu Programa Bug Bounty para incentivar aqueles que usam seus aplicativos, como ChatGPT e DALL-E, para criar sistemas de IA seguros, avançados e globalmente benéficos.
Qualquer pessoa que encontrar e relatar vulnerabilidades nos sistemas da OpenAI ganhará recompensas em dinheiro, resultando em uma situação em que todos saem ganhando. Enquanto os participantes ganham dinheiro, os sistemas da empresa ficam mais seguros.
A OpenAI promete protegê-lo de responsabilidades ou penalidades se você seguir suas diretrizes declaradas e também reconhecerá os envios e corrigirá as vulnerabilidades validadas prontamente. Além disso, a OpenAI afirma que reconhecerá publicamente sua contribuição se for única e levar a uma configuração ou alteração de código.
No entanto, você não pode divulgar suas descobertas relacionadas à vulnerabilidade ao público depois de enviá-las.
Esse programa de recompensa por bug abrange vulnerabilidades em todos os sistemas OpenAI, incluindo destinos e chaves de API, ChatGPT e a organização de pesquisa. No entanto, a iniciativa não cobre questões de segurança com o modelo da OpenAI, incluindo desvios de segurança e fazendo com que o modelo crie código malicioso. Além disso, a empresa não recompensará questões relacionadas ao conteúdo ou respostas do prompt do modelo e alucinações de IA. Você pode denunciá-los para Equipe da OpenAI para feedback de comportamento do modelo.
Quanto você pode ganhar com o programa Bug Bounty da OpenAI?
A OpenAI determina as recompensas em dinheiro a serem pagas com base na gravidade e no impacto do bug descoberto. Normalmente, a recompensa varia de US$ 200 a US$ 6.500 por vulnerabilidade, mas pode ser maior se suas descobertas forem excepcionais e de grande importância.
A recompensa máxima que você pode ganhar é $ 20.000.
A princípio, o nível de prioridade de sua descoberta, junto com sua recompensa, será determinado usando Taxonomia de classificação de vulnerabilidade do Bugcrowd. Porém, caso julgue necessário, este nível e sua recompensa poderão ser modificados pela OpenAI.
Além disso, a empresa de pesquisa de IA não o reembolsará por quaisquer compras ou atualizações que você fizer ao identificar ou testar bugs.
Como participar do programa de recompensas de bugs da OpenAI
Como o Bugcrowd facilita esse programa de recompensas por bugs, você deve criar uma conta no Bugcrowd para participar. O OpenAI até sugere que você realize testes adicionais autorizados usando um endereço de e-mail "@bugcrowdninja.com".
Com uma conta Bugcrowd, você pode clicar na guia "Enviar relatório" na Página do programa Bugcrowd OpenAI para relatar vulnerabilidades. Isso o levará à página de envios.
Aqui, você deve preencher as seguintes informações:
- Um título descrevendo clara e brevemente a vulnerabilidade
- O alvo da vulnerabilidade descoberta
- O tipo de vulnerabilidade
- A URL ou localização da vulnerabilidade
- A descrição da falha e seu impacto
- Scripts de prova de conceito, gravações de tela ou anexos que descrevem o bug
- Os pesquisadores e colaboradores na submissão
Depois de preencher esses detalhes, concorde com os termos e condições do Bugcrowd e clique em "Relatar vulnerabilidade".
Observe que você não deve enviar chaves de API para o Bugcrowd. Você só deve enviar as chaves que encontrar on-line por meio do Formulário de chave da API OpenAI.
Quais vulnerabilidades são elegíveis para recompensas?
Você será recompensado por qualquer vulnerabilidade de segurança, funcionalidade, desempenho e documentação que encontrar em api.openai.com, alvos de terceiros, ChatGPT, plugins ChatGPT, https://openai.org, */openai.org, chaves de API OpenAI, openai.com, */openai.com e playground da plataforma do desenvolvedor.
Isso inclui injeção no lado do servidor, configuração incorreta de segurança do servidor, script entre sites (XSS), SO/firmware inseguro, armazenamento de dados inseguro, falsificação de solicitação entre sites (CSRF) e autenticação quebrada e gerenciamento de sessão.
Todas as vulnerabilidades devem estar no sistema da OpenAI, exploráveis e novas.
Ganhe dinheiro melhorando os sistemas da OpenAI
O programa de recompensas de bugs da OpenAI é uma ótima maneira de você - como hacker ético, pesquisador de segurança ou entusiasta de tecnologia - ganhar enquanto melhora os sistemas de IA da empresa.
No entanto, certifique-se de cumprir todas as diretrizes e regras de engajamento especificadas.