帮ChatGPT找漏洞,最高奖励2万美元!
4月12日凌晨,Open AI在官方博客宣布了一项漏洞悬赏计划。希望用户可以在使用ChatGPT、API、插件等产品时,将发现的各种漏洞、安全隐患提交给Open AI以获得丰厚的奖励。目前,已有人获得美元奖励。
通常,75%的漏洞提交在2个小时内都会得到回复,最低200美元,最高2万美元奖励。Open AI希望通过这种全民找漏洞的方式,将ChatGPT等产品的风险输出、安全隐患、数据隐私等问题降至最低,从而为人们提供更安全、可靠的AI服务。
之前一直有人在问,普通人如何通过ChatGPT赚钱?这不,机会就来了嘛多用、多想找到BUG提交给Open AI就能拿到大红包啦。(活动地址:https://bugcrowd.com/openai)
奖励计划简介
OpenAI Bug Bounty Program(Open AI漏洞奖励计划)是Open AI为保护产品和公司安全做出贡献的一种奖励模式。OpenAI希望用户在使用其产品时,将发现的漏洞、错误或安全问题提交上去。
OpenAI与领先的漏洞赏金平台Bug crowd进行合作,管理提交和奖励流程,旨在确保所有参与者获得简化、高效的体验。可以在https://bugcrowd.com/openai页面上找到详细的参与指南和规则。
ChatGPT规则简单介绍
ChatGPT产品,包括ChatGPT Plus、登录、订阅、OpenAI创建的插件(例如浏览、代码解释器等)、用户自己创建的插件以及所有其他功能。
Open AI感兴趣的漏洞与安全问题:
- 存储型或反射型XSS
- CSRF
- SQLi
- 认证问题
- 授权问题
- 数据暴露
- 付款问题
- 通过将流量发送到不受cloudflare保护的端点,来绕过cloudflare保护的方法
- 能够在预发布或私有模型上运行查询
- OpenAI创建的插件:浏览;代码解释器
- 插件创建系统的安全问题:导致浏览器应用程序崩溃的输出
- 凭证安全
- OAuth
- SSRF
- 使插件服务从加载清单的地方调用不相关域的方法
注意,用户无权对他人创建的插件进行安全测试。
OpenAI API 密钥规则简介
有时OpenAI的客户会在互联网上发布他们的 API 密钥。OpenAI需要你的帮助来确保它们的安全。
每月一次,OpenAI将根据各种因素按顺序评估所有提交的内容,并通过 bugcrowd 平台向发现最具影响力的研究人员颁发奖金。只有任何给定密钥的第一次提交才算在内。
注意,用户不得为了找到API 密钥而侵入或攻击他人。OpenAI API 密钥的形式为sk-\w{48}.任何不是这种形式的都将被丢弃。
其他需要注意的:提交已禁用的密钥没用;为低质量帐户提交许多API密钥没用;为同一个帐户重复提交密钥没用;
创建多个帐户或创建多个与单个帐户关联的API 密钥违反OpenAI的服务条款,并可能导致帐户被禁止;请立即提交你找到的所有密钥,一次发送一个没用。
模型安全问题
模型安全问题不适合本次奖励计划。因为不是可以直接修复的独立、离散的错误,解决这些问题通常涉及大量研究和更广泛的方法。用户可以通过在https://openai.com/form/model-behavior-feedback提交有关模型安全的问题。
此外,与模型提示和响应内容相关的问题严格超出范围,除非它们对范围内的服务有额外的直接可验证的安全影响,否则不会得到奖励。超出范围的安全问题示例如下:
- 越狱/安全绕过(例如DAN和相关提示)
- 让模型对你说坏话
- 让模型告诉你如何做坏事
- 让模型为你编写恶意代码
- 模型幻觉:
- 让模型假装做坏事
- 让模型假装给你秘密的答案
- 让模型假装成计算机并执行代码
对AI的保护承诺
OpenAI的使命是创建造福所有人的AI产品。为此,OpenAI正大力投资于研究和工程,以确保AI产品安全可靠。然而,与任何复杂技术一样技术漏洞和缺陷在所难免。
OpenAI认为,透明度和协作对于解决安全隐患难题至关重要。这就是为什么OpenAI邀请全球安全研究人员、红客和技术爱好者社区,帮助他们识别和解决产品中的漏洞。
OpenAI很高兴通过为符合条件的漏洞信息提供奖励。你的专业知识和警惕性,将对确保OpenAI的系统和用户安全产生直接影响。
本文素材来源OpenAI,如有侵权请联系删除