OpenAI lança programa de recompensa por bugs com recompensas de até US$20 mil
12 de Abril de 2023

A empresa de pesquisa em IA, OpenAI, anunciou hoje o lançamento de um novo programa de recompensas por bugs para permitir que pesquisadores de segurança registrados descubram vulnerabilidades em sua linha de produtos e sejam pagos por relatá-las via plataforma de segurança crowdsourcing Bugcrowd.

Como a empresa revelou hoje, as recompensas são baseadas na gravidade e impacto dos problemas relatados e variam de $200 para falhas de segurança de baixa gravidade a $20.000 por descobertas excepcionais.

"O Programa de Recompensas por Bugs da OpenAI é uma forma de reconhecer e recompensar as valiosas informações dos pesquisadores de segurança que contribuem para manter nossa tecnologia e empresa seguras", disse a OpenAI.

"Convidamos você a relatar vulnerabilidades, bugs ou falhas de segurança que você descobrir em nossos sistemas.

Ao compartilhar suas descobertas, você desempenhará um papel crucial na tornando nossa tecnologia mais segura para todos".

No entanto, enquanto a API da OpenAI e seu chatbot de inteligência artificial ChatGPT são alvos em escopo para os caçadores de recompensas, a empresa pediu aos pesquisadores que relatassem problemas de modelo por meio de um formulário separado, a menos que tenham um impacto de segurança.

"Problemas de segurança do modelo não se encaixam bem em um programa de recompensas por bugs, pois não são bugs individuais e discretos que podem ser corrigidos diretamente.

Abordar esses problemas muitas vezes envolve pesquisa substancial e uma abordagem mais ampla", disse a OpenAI.

"Para garantir que essas preocupações sejam adequadamente abordadas, por favor, relate-as usando o formulário apropriado, em vez de enviá-las pelo programa de recompensas por bugs.

Relatar no lugar certo permite que nossos pesquisadores usem esses relatórios para melhorar o modelo".

Outros problemas que estão fora do escopo incluem jailbreaks e contornos de segurança que os usuários do ChatGPT estão explorando para enganar o chatbot do ChatGPT e ignorar as salvaguardas implementadas pelos engenheiros da OpenAI.

No mês passado, a OpenAI divulgou uma falha de dados de pagamento do ChatGPT, que a empresa culpou por um bug na biblioteca de código aberto Redis client usada por sua plataforma.

Devido ao bug, os assinantes do ChatGPT Plus começaram a ver endereços de e-mail de outros usuários em suas páginas de assinatura.

Seguindo um aumento constante de relatórios de usuários, a OpenAI tirou o bot do ChatGPT offline para investigar um problema.

Em um post-mortem publicado dias depois, a empresa explicou que o bug causou a exposição de consultas de bate-papo e informações pessoais do ChatGPT para cerca de 1,2% dos assinantes do Plus.

As informações expostas incluíam nomes de assinantes, endereços de e-mail, endereços de pagamento e informações de cartão de crédito parciais.

"O bug foi descoberto na biblioteca de código aberto do Redis client, redis-py.

Assim que identificamos o bug, entramos em contato com os mantenedores do Redis com um patch para resolver o problema", disse a OpenAI.

Embora a empresa não tenha relacionado o anúncio de hoje com esse incidente recente, o problema teria sido potencialmente descoberto mais cedo e o vazamento de dados poderia ter sido evitado se a OpenAI já tivesse um programa de recompensas por bugs em execução para permitir que os pesquisadores testassem seus produtos em busca de falhas de segurança.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...