如果你是一个安全研究员、黑客或技术爱好者,OpenAI 正在寻求你的帮助。而且这不是免费的。2023 年 4 月 11 日,OpenAI 宣布了一项漏洞赏金计划,作为其开发可靠、安全和先进的人工智能系统的承诺的一部分,任何拥有适当技能的人都有可能提供帮助。
什么是 OpenAI 漏洞赏金计划?
OpenAI 宣布其漏洞赏金计划,以激励那些使用其应用程序的人,如 ChatGPT 和 DALL-E,以创建安全、先进和有益于全球的 AI 系统。
任何发现并报告 OpenAI 系统中的漏洞的人都将获得现金奖励,形成双赢的局面。在参与者赚钱的同时,该公司的系统也变得更加安全。
OpenAI 承诺,如果您遵守其规定的准则,将保护您的责任或处罚,并将确认提交的内容,及时补救已验证的漏洞。此外,OpenAI 声称,如果你的贡献是独特的,并导致配置或代码的改变,它将公开承认你的贡献。
然而,在提交后,你不能向公众披露你的漏洞相关发现。
该漏洞赏金计划涵盖所有 OpenAI 系统的漏洞,包括 API 目标和密钥、ChatGPT 和研究组织。然而,该计划并不涵盖 OpenAI 模型的安全问题,包括安全绕过和让模型创建恶意代码。此外,该公司将不会奖励与模型提示内容或回应以及 AI 幻觉有关的问题。你可以向 OpenAI 的团队报告这些,以获得模型行为反馈。
你能从 OpenAI 的漏洞赏金计划中赚取多少钱?
OpenAI 根据所发现的漏洞的严重程度和影响程度来决定支付的现金奖励。通常情况下,每个漏洞的奖励从 200 美元到 6500 美元不等,但如果您的发现是特殊的、有重大影响的,则可以更高。
你能获得的最高奖励是 20,000 美元。
起初,你的发现的优先级别以及你的奖励将通过 Bugcrowd 的漏洞评级分类法来确定。然而,如果它认为有必要,这个级别和你的奖励可能会被 OpenAI 修改。
此外,人工智能研究公司不会报销您在识别或测试漏洞时的任何购买或升级费用。
如何参与 OpenAI 漏洞赏金计划
由于 Bugcrowd 促成了这个漏洞赏金计划,您必须创建一个 Bugcrowd 账户才能参与。OpenAI 甚至建议您使用”@bugcrowdninja.com”电子邮件地址进行授权的额外测试。
有了 Bugcrowd 账户,您可以点击 Bugcrowd OpenAI 程序页面上的 “提交报告”标签来报告漏洞。这将引导您进入提交页面。
在这里,你必须填写以下信息:
- 清楚而简要地描述该漏洞的标题
- 发现漏洞的目标
- 漏洞的类型
- 漏洞的 URL 或位置
- 漏洞的描述及其影响
- 描绘该漏洞的概念证明脚本、屏幕录像或附件
- 提交的研究人员和合作者
在填写完这些细节后,同意 Bugcrowd 的条款和条件,并点击 “报告漏洞”。
请注意,您不可以向 Bugcrowd 提交 API 密钥。您必须只提交您通过 OpenAI API 密钥表格在网上找到的密钥。
哪些漏洞有资格获得奖励?
您在 api.openai.com、第三方目标、ChatGPT、ChatGPT 插件、https://openai.org、*/openai.org、OpenAI API密钥、openai.com、*/openai.com 和开发者平台中发现的任何安全、功能、性能和文档漏洞都将获得奖励。
这些漏洞包括服务器端注入、服务器安全错误配置、跨站脚本(XSS)、不安全的操作系统/固件、不安全的数据存储、跨站请求伪造(CSRF)以及破碎的认证和会话管理。
所有的漏洞都必须在 OpenAI 的系统中,可被利用,并且是新颖的。
在改善 OpenAI 系统的同时赚钱
OpenAI 的漏洞赏金计划是您作为红客、黑客、安全研究员或技术爱好者在改进公司的人工智能系统时赚钱的好方法。
但是,看来在想要赚钱的同时也请确保你遵守所有指定的准则和参与规则。
