OpenAI 发布AI安全漏洞奖励计划

聚焦源代码安全网罗国内外最新资讯编译代码卫士OpenAI公司发布公开的安全漏洞奖励计划旨在识别产品中的AI滥用和安全风险问题。该AI漏洞奖励计划在 Bugcrowd 平台上实施标志着 OpenAI 开始修复传统安全漏洞范围以外但仍然可能造成实际影响的漏洞。该漏洞奖励计划旨在补充 OpenAI 公司现有的安全漏洞奖励计划任何存在重大滥用和安全风险的问题甚至是这些问题并非传统安全漏洞的漏洞报告均可提交。OpenAI 公司将与安全漏洞奖励团队共同对这些漏洞进行初审并根据漏洞的范围和归属在两个项目之间进行重新分配。相关的AI风险类别该计划针对几种不同类别的AI特定安全场景包括MCP的代理风险——涵盖第三方提示注入和数据外泄场景即攻击者控制的文本能够可靠地劫持受害者的AI代理包括Browser、ChatGPT 智能体及类似的代理型产品从而执行有害操作或泄露敏感用户数据。如属于该场景利用行为必须至少有50%的概率可重现。涉及代理型产品大规模执行被禁止或潜在有害行为的报告也在范围内。OpenAI专有信息——研究人员可报告模型生成内容中无意暴露的推理相关专有信息以及泄露OpenAI其它保密数据的漏洞。账户与平台完整性——此类别针对账户和平台完整性信号中的弱点包括绕过反自动化控制、操纵账户信任信号、以及规避账户限制、暂停或封禁等。OpenAI已明确说明仅导致粗鲁语言或公开已知信息的通用越狱、无明确安全或滥用影响的一般性内容策略绕过将不在奖励范围内。不过OpenAI会定期开展针对特定危害类型的私有漏洞赏金活动例如ChatGPT 智能体和GPT-5中的生物风险内容问题并会在这些项目启动时邀请研究人员申请参与。对于能够实现超出允许权限范围对功能、数据或功能进行未授权访问的漏洞研究人员应转向现有的安全漏洞赏金计划进行提交。本次推出的AI漏洞奖励计划表明人们越来越认识到AI系统引入了一个全新的攻击面这是传统安全框架未曾设计去应对的。OpenAI 公司在对传统漏洞披露进行激励的同时也对关注安全性的研究给予奖励从而有效地为针对AI的威胁建模建立一个结构化的框架。有兴趣参与的研究人员可以直接通过OpenAI在Bugcrowd平台上的安全漏洞赏金页面进行申请。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读OpenAI 编程代理中高危漏洞可用于攻击开发人员第三方供应商导致OpenAI客户数据遭泄露看我如何通过 OpenAI o3 挖到 Linux 内核远程 0day原文链接https://cybersecuritynews.com/openai-safety-bug-bounty/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~