OpenAI ha lanciato un programma di bug bounty e invita la comunità globale di ricercatori di sicurezza, hacker etici e appassionati di tecnologia ad aiutare l’azienda a identificare e risolvere le vulnerabilità nei suoi sistemi di intelligenza artificiale generativa. “Siamo entusiasti di proseguire il nostro impegno di divulgazione coordinata offrendo incentivi per informazioni qualificate sulle vulnerabilità”, ha scritto l’azienda in un post dei giorni scorsi. 

In base alla gravità e all’impatto della vulnerabilità segnalata, OpenAI distribuirà premi in denaro che vanno da 200 dollari per le scoperte di bassa gravità fino a 20.000 dollari per quelle più gravi. L’azienda ha stretto una partnership con Bugcrowd, una piattaforma di bug bounty, per gestire il processo di invio e di ricompensa.

Programma bug bounty di OpenAI

Il programma di bug bounty di OpenAI comprende API target, ChatGPT, target aziendali di terze parti e chiavi API OpenAI. Gli API target comprendono le API OpenAI e le risorse o le infrastrutture del cloud pubblico coinvolte nel servizio delle API OpenAI, come gli account di archiviazione del cloud (ad esempio, i blob di dati di Azure) e i server di calcolo del cloud (ad esempio, le macchine virtuali di Azure). Per quanto riguarda ChatGPT, l’ambito comprende ChatGPT Plus, i login, gli abbonamenti, i plugin creati da OpenAI, i plugin creati dagli utenti stessi e tutte le altre funzionalità.

Sono incluse nell’ambito del programma anche le informazioni aziendali riservate di OpenAI che possono essere esposte attraverso terze parti come Google Workspace, Asana, Trello, Jira, Monday.com, Notion, Confluence, Evernote, Intercom, Hubspot, Zendesk, Salesforce, Stripe, Airbase, Navan, Tableau, Mode, Charthop e Looker, ha dichiarato Bugcrowd.

Ai,Tech,,Businessman,Show,Virtual,Graphic,Global,Internet,Connect,Chatgpt

Allucinazioni del modello e problemi di sicurezza

I problemi relativi al contenuto delle richieste e delle risposte dei modelli sono rigorosamente al di fuori dell’ambito del bug bounty e non saranno ricompensati a meno che non abbiano un impatto aggiuntivo direttamente verificabile sulla sicurezza di un servizio. Anche le allucinazioni del modello sono elencate come fuori dal campo di applicazione da OpenAI. “I problemi di sicurezza dei modelli non si adattano bene a un programma di bug bounty, poiché non sono bug singoli e discreti che possono essere risolti direttamente”, ha dichiarato OpenAI.

Una volta scoperta una vulnerabilità, le informazioni ad essa relative devono essere comunicate utilizzando il programma Bugcrowd di OpenAI. I dettagli della vulnerabilità devono essere mantenuti riservati fino all’autorizzazione al rilascio da parte del team di sicurezza di OpenAI.

Recenti problemi di sicurezza in ChatGPT

L’annuncio del programma di bug bounty da parte di OpenAI arriva a poche settimane dall’incidente di sicurezza di ChatGPT nel quale un bug della libreria open source Redis client aveva causato un’interruzione del servizio e una fuga di dati, a causa del quale gli utenti potevano vedere le informazioni personali e le query di chat degli altri utenti. L’azienda ha ammesso che sono state esposte le query di chat e le informazioni personali come i nomi degli abbonati, gli indirizzi e-mail, gli indirizzi di pagamento e i dati parziali delle carte di credito di circa l’1,2% degli abbonati a ChatGPT Plus.