La compañía OpenAI dedicada a la investigación y desarrollo de soluciones basadas en Inteligencia Artificial anunció el lanzamiento de un programa de BugBounty mediante el cual ofrece recompensas por el hallazgo de vulnerabilidades de seguridad en sus productos. La invitación es para investigadores interesados en mejorar la seguridad y privacidad de sus tecnologías reportando sus descubrimientos a través de BugCrowd.
Tal vez te interese: Bug Bounty: cómo funciona el mundo del Hacking Ético y la cacería de vulnerabilidades
El pago por vulnerabilidad reportada va desde los 200 y puede llegar hasta los 20.000 dólares para casos excepcionales. El rango dependerá del nivel de severidad del fallo reportado.
ChatGPT y su versión Plus entran dentro del espectro del programa de recompensas, así como el sistema de suscripción, plugins creados por OpenAI o propios. Sin embargo, los plugins creados por terceros no están sujetos a evaluaciones de seguridad.
Por otra parte, OpenAI aclara que los problemas de seguridad en los modelo de machine learning no se adecuan bien a los programas de BugBounty, ya que no son fallos discretos e individuales que pueden ser corregidos directamente. Corregir este tipo de fallos involucra un abordaje más amplio, por lo que se solicita reportarlos de la manera apropiada a través del siguiente formulario.
Otro tipo de fallos que están fuera del alcance de este programa incluye jailbreaks y evasiones de ciertas medidas de seguridad por parte de los usuarias de ChatGPT, así como solicitudes para que el modelo escriba código malicioso.
Algunos investigadores opinan que las recompensas que paga OpenAi para fallos críticos superan los montos promedios que pagan otras compañías a través de programas de BugBounty.
And looks like @OpenAI just launched their Bug Bounty Program on @Bugcrowd, awards looks better than industry standards (up to $20,000 for crits)
Not sure if they'll award my finding in retro-spect, but happy to see them moving into the right direction! pic.twitter.com/FrAK8iZhmV
— Nagli (@naglinagli) April 11, 2023
Hasta el momento la plataforma de BugCrowd indica que ya fueron 14 las vulnerabilidades reportadas desde su lanzamiento. Recientemente OpenAI corrigió un fallo de seguridad en ChatGPT que exponía la dirección de correo y otra información de las personas.