Chương trình tiền thưởng lỗi của OpenAI là gì và bạn có thể tham gia như thế nào?
Nếu bạn là nhà nghiên cứu bảo mật, hacker có đạo đức hoặc người đam mê công nghệ, OpenAI đang yêu cầu bạn trợ giúp. Và nó không miễn phí.
Vào ngày 11 tháng 4 năm 2023, OpenAI đã công bố chương trình tiền thưởng lỗi như một phần trong cam kết phát triển các hệ thống AI tiên tiến, an toàn và đáng tin cậy, đồng thời bất kỳ ai có bộ kỹ năng phù hợp đều có thể trợ giúp.
Mục Lục
Chương trình tiền thưởng lỗi của OpenAI là gì?
OpenAI đã công bố Chương trình tiền thưởng cho lỗi để khuyến khích những người sử dụng ứng dụng của họ, chẳng hạn như ChatGPT và DALL-E, để tạo ra các hệ thống AI an toàn, tiên tiến và có lợi trên toàn cầu.
Bất kỳ ai tìm thấy và báo cáo các lỗ hổng trong hệ thống của OpenAI sẽ kiếm được phần thưởng bằng tiền mặt, dẫn đến một tình huống đôi bên cùng có lợi. Trong khi những người tham gia kiếm được tiền, hệ thống của công ty trở nên an toàn hơn.
OpenAI hứa sẽ bảo vệ bạn khỏi các trách nhiệm pháp lý hoặc hình phạt nếu bạn tuân theo các hướng dẫn đã nêu của nó và cũng sẽ ghi nhận các nội dung gửi và khắc phục các lỗ hổng đã được xác thực một cách kịp thời. Hơn nữa, OpenAI tuyên bố nó sẽ công khai ghi nhận đóng góp của bạn nếu nó là duy nhất và dẫn đến thay đổi cấu hình hoặc mã.
Tuy nhiên, bạn không thể tiết lộ những phát hiện liên quan đến lỗ hổng của mình cho công chúng sau khi gửi chúng.
Chương trình tiền thưởng lỗi này bao gồm các lỗ hổng trong tất cả các hệ thống OpenAI, bao gồm các mục tiêu và khóa API, ChatGPT và tổ chức nghiên cứu. Tuy nhiên, sáng kiến này không đề cập đến các vấn đề an toàn với mô hình của OpenAI, bao gồm cả việc bỏ qua an toàn và khiến mô hình tạo mã độc. Ngoài ra, công ty sẽ không thưởng cho các vấn đề liên quan đến nội dung hoặc phản hồi nhanh của người mẫu và ảo giác AI. Bạn có thể báo cáo những điều này cho nhóm của OpenAI để nhận phản hồi về hành vi mô hình.
Bạn có thể kiếm được bao nhiêu từ chương trình tiền thưởng lỗi của OpenAI?
OpenAI xác định phần thưởng tiền mặt sẽ được trả dựa trên mức độ nghiêm trọng và tác động của lỗi được phát hiện. Thông thường, phần thưởng nằm trong khoảng từ 200 đô la đến 6.500 đô la cho mỗi lỗ hổng nhưng có thể cao hơn nếu phát hiện của bạn là đặc biệt và có hậu quả lớn.
Phần thưởng tối đa bạn có thể kiếm được là 20.000 đô la.
Lúc đầu, mức độ ưu tiên của phát hiện của bạn, cùng với phần thưởng của bạn, sẽ được xác định bằng cách sử dụng Phân loại xếp hạng tính dễ bị tổn thương của Bugcrowd. Tuy nhiên, nếu xét thấy cần thiết, cấp độ này và phần thưởng của bạn có thể được OpenAI sửa đổi.
Ngoài ra, công ty nghiên cứu AI sẽ không hoàn trả cho bạn bất kỳ giao dịch mua hoặc nâng cấp nào bạn thực hiện khi xác định hoặc kiểm tra lỗi.
Cách tham gia Chương trình tiền thưởng lỗi của OpenAI
Vì Bugcrowd tạo điều kiện thuận lợi cho chương trình tiền thưởng lỗi này, bạn phải tạo một tài khoản Bugcrowd để tham gia. OpenAI thậm chí còn đề xuất bạn thực hiện thử nghiệm bổ sung được ủy quyền bằng địa chỉ email “@bugcrowdninja.com”.
Với tài khoản Bugcrowd, bạn có thể nhấp vào tab “Gửi báo cáo” trên trang chương trình Bugcrowd OpenAI để báo cáo các lỗ hổng. Điều này sẽ dẫn bạn đến trang đệ trình.
Tại đây, bạn phải điền các thông tin sau:
- Tiêu đề mô tả rõ ràng và ngắn gọn về lỗ hổng bảo mật
- Mục tiêu của lỗ hổng được phát hiện
- Loại lỗ hổng
- URL hoặc vị trí của lỗ hổng
- Mô tả lỗ hổng và tác động của nó
- Tập lệnh chứng minh khái niệm, bản ghi màn hình hoặc tệp đính kèm mô tả lỗi
- Các nhà nghiên cứu và cộng tác viên về việc đệ trình
Sau khi điền các chi tiết này, hãy đồng ý với các điều khoản và điều kiện của Bugcrowd và nhấp vào “Báo cáo lỗ hổng bảo mật”.
Lưu ý rằng bạn không được gửi khóa API cho Bugcrowd. Bạn chỉ phải gửi các khóa mà bạn tìm thấy trực tuyến thông qua biểu mẫu khóa API OpenAI.
Những lỗ hổng nào đủ điều kiện nhận phần thưởng?
Bạn sẽ được thưởng cho mọi lỗ hổng bảo mật, chức năng, hiệu suất và tài liệu mà bạn tìm thấy trong api.openai.com, các mục tiêu của bên thứ ba, ChatGPT, plugin ChatGPT, https://openai.org, */openai.org, API OpenAI keys, openai.com, */openai.com và sân chơi nền tảng dành cho nhà phát triển.
Chúng bao gồm nội dung tấn công phía máy chủ, cấu hình sai bảo mật máy chủ, tập lệnh chéo trang (XSS), hệ điều hành/phần sụn không an toàn, lưu trữ dữ liệu không an toàn, giả mạo yêu cầu giữa các trang (CSRF) cũng như xác thực và quản lý phiên bị hỏng.
Tất cả các lỗ hổng phải nằm trong hệ thống của OpenAI, có thể khai thác và mới lạ.
Kiếm tiền trong khi cải thiện hệ thống của OpenAI
Chương trình tiền thưởng lỗi của OpenAI là một cách tuyệt vời để bạn—với tư cách là một hacker có đạo đức, nhà nghiên cứu bảo mật hoặc người đam mê công nghệ—kiếm tiền trong khi cải thiện các hệ thống AI của công ty.
Tuy nhiên, đảm bảo bạn tuân thủ tất cả các nguyên tắc và quy tắc tham gia được chỉ định.