帮ChatGPT找漏洞，最高奖励2万美元！

专注AIGC领域的专业社区，关注GPT-4、百度文心一言、华为盘古等大语言模型（LLM）的发展和应用落地，以及国内LLM的发展和市场研究，欢迎关注！

4月12日凌晨，Open AI在官方博客宣布了一项漏洞悬赏计划。希望用户可以在使用ChatGPT、API、插件等产品时，将发现的各种漏洞、安全隐患提交给Open AI以获得丰厚的奖励。目前，已有人获得美元奖励。

通常，75%的漏洞提交在2个小时内都会得到回复，最低200美元，最高2万美元奖励。Open AI希望通过这种全民找漏洞的方式，将ChatGPT等产品的风险输出、安全隐患、数据隐私等问题降至最低，从而为人们提供更安全、可靠的AI服务。

之前一直有人在问，普通人如何通过ChatGPT赚钱？这不，机会就来了嘛多用、多想找到BUG提交给Open AI就能拿到大红包啦。（活动地址：https://bugcrowd.com/openai）

奖励计划简介

OpenAI Bug Bounty Program（Open AI漏洞奖励计划）是Open AI为保护产品和公司安全做出贡献的一种奖励模式。OpenAI希望用户在使用其产品时，将发现的漏洞、错误或安全问题提交上去。

OpenAI与领先的漏洞赏金平台Bug crowd进行合作，管理提交和奖励流程，旨在确保所有参与者获得简化、高效的体验。可以在https://bugcrowd.com/openai页面上找到详细的参与指南和规则。

ChatGPT规则简单介绍

ChatGPT产品，包括ChatGPT Plus、登录、订阅、OpenAI创建的插件（例如浏览、代码解释器等）、用户自己创建的插件以及所有其他功能。

Open AI感兴趣的漏洞与安全问题：

• 存储型或反射型XSS

• CSRF

• SQLi

• 认证问题

• 授权问题

• 数据暴露

• 付款问题

• 通过将流量发送到不受cloudflare保护的端点，来绕过cloudflare保护的方法

• 能够在预发布或私有模型上运行查询

• OpenAI创建的插件：浏览；代码解释器

• 插件创建系统的安全问题：导致浏览器应用程序崩溃的输出

• 凭证安全

• OAuth

• SSRF

• 使插件服务从加载清单的地方调用不相关域的方法

注意，用户无权对他人创建的插件进行安全测试。

OpenAI API 密钥规则简介

有时OpenAI的客户会在互联网上发布他们的 API 密钥。OpenAI需要你的帮助来确保它们的安全。

每月一次，OpenAI将根据各种因素按顺序评估所有提交的内容，并通过 bugcrowd 平台向发现最具影响力的研究人员颁发奖金。只有任何给定密钥的第一次提交才算在内。

注意，用户不得为了找到API 密钥而侵入或攻击他人。OpenAI API 密钥的形式为sk-w{48}.任何不是这种形式的都将被丢弃。

其他需要注意的：提交已禁用的密钥没用；为低质量帐户提交许多API密钥没用；为同一个帐户重复提交密钥没用；

创建多个帐户或创建多个与单个帐户关联的API 密钥违反OpenAI的服务条款，并可能导致帐户被禁止；请立即提交你找到的所有密钥，一次发送一个没用。

模型安全问题

模型安全问题不适合本次奖励计划。因为不是可以直接修复的独立、离散的错误，解决这些问题通常涉及大量研究和更广泛的方法。用户可以通过在https://openai.com/form/model-behavior-feedback提交有关模型安全的问题。

此外，与模型提示和响应内容相关的问题严格超出范围，除非它们对范围内的服务有额外的直接可验证的安全影响，否则不会得到奖励。超出范围的安全问题示例如下：

• 越狱/安全绕过（例如DAN和相关提示）
• 让模型对你说坏话
• 让模型告诉你如何做坏事
• 让模型为你编写恶意代码
  模型幻觉：
• 让模型假装做坏事
• 让模型假装给你秘密的答案
• 让模型假装成计算机并执行代码

对AI的保护承诺

OpenAI的使命是创建造福所有人的AI产品。为此，OpenAI正大力投资于研究和工程，以确保AI产品安全可靠。然而，与任何复杂技术一样技术漏洞和缺陷在所难免。

OpenAI认为，透明度和协作对于解决安全隐患难题至关重要。这就是为什么OpenAI邀请全球安全研究人员、红客和技术爱好者社区，帮助他们识别和解决产品中的漏洞。

OpenAI很高兴通过为符合条件的漏洞信息提供奖励。你的专业知识和警惕性，将对确保OpenAI的系统和用户安全产生直接影响。

本文素材来源OpenAI，如有侵权请联系删除

END

加入AIGC开放社区交流群

添加微信：13331022201 ，备注“职位信息&名字”

管理员审核后加入讨论群