A OpenAI, empresa de pesquisa e desenvolvimento de soluções baseadas em IA, anunciou o lançamento de um programa de Bug Bounty que oferece recompensas para os usuários que encontrarem vulnerabilidades de segurança em seus produtos. Os pesquisadores interessados em melhorar a segurança e a privacidade das tecnologias da empresa devem relatar suas descobertas através da plataforma de bugs Bugcrowd.
Veja mais: Bug Bounty: como funciona o mundo do Hacking Ético e a caça às vulnerabilidades
O pagamento pela vulnerabilidade reportada varia de US$ 200 à US$ 20 mil (em casos excepcionais). A faixa depende do nível de gravidade da falha encontrada.
O ChatGPT e sua versão Plus se enquadram no escopo do programa de recompensas, assim como o sistema de assinaturas e plugins criados pela OpenAI ou próprios. Entretanto, os plugins criados por terceiros não estão incluídos nas avaliações de segurança definidas pelo programa.
A OpenAI esclarece que os problemas de segurança em modelos de machine learning também não estão incluídos no programa de Bug Bounty, pois não são consideradas falhas discretas e individuais que podem ser corrigidas diretamente. A correção destes tipos de bugs envolve uma abordagem mais ampla, por isso eles devem ser relatados da maneira mais apropriada através de um formulário específico.
O programa de recompensas também não inclui casos de jailbreaks e a evasão de certas medidas de segurança pelos usuários do ChatGPT, bem como solicitações para que o modelo escreva códigos maliciosos.
Alguns pesquisadores acreditam que as recompensas pagas pela OpenAi para falhas críticas excedem as quantias geralmente pagas por outras empresas através de programas de Bug Bounty.
And looks like @OpenAI just launched their Bug Bounty Program on @Bugcrowd, awards looks better than industry standards (up to $20,000 for crits)
Not sure if they'll award my finding in retro-spect, but happy to see them moving into the right direction! pic.twitter.com/FrAK8iZhmV
— Nagli (@naglinagli) April 11, 2023
Até o momento, a plataforma de recompensas de bugs Bugcrowd indica que 32 vulnerabilidades foram relatadas desde o lançamento do programa de recompensas. A OpenAI corrigiu recentemente uma falha de segurança no ChatGPT que estava expondo endereços de e-mail e outras informações de usuários.