行業新聞與部落格

OpenAI 推出了一項新的漏洞賞金計劃，旨在鼓勵研究人員解決其產品中存在的 AI 濫用和安全風險。

新的安全漏洞賞金計劃於 3 月 26 日宣佈，並在 Bugcrowd 平臺上執行。

它與該公司在 Bugcrowd 上託管的安全漏洞賞金計劃相輔相成，該計劃自 2023 年 4 月推出以來，已獎勵了 OpenAI 產品中的 409 個安全漏洞。

OpenAI 希望透過安全漏洞賞金計劃，鼓勵使用者披露其產品中存在“有意義的濫用和安全風險”的問題，即使這些問題不符合安全漏洞的標準。

該新計劃涵蓋的場景包括：

• 代理風險，包括模型上下文協議 (MCP) 濫用、第三方提示注入、資料洩露、在 OpenAI 網站上大規模執行禁止操作或其他潛在的有害未列明行為
• 違反賬戶和平臺完整性的行為（例如繞過反自動化控制、操縱賬戶信任訊號、規避賬戶限制 / 暫停 / 封禁）
• OpenAI 專有資訊濫用（例如，模型生成返回與推理相關的專有資訊；漏洞暴露其他 OpenAI 專有資訊）

主要區別：OpenAI 的安全漏洞賞金計劃與安全漏洞賞金計劃

OpenAI 指出，涉及使用者訪問超出授權許可權的功能、資料或特性的完整性違規行為，應向安全漏洞賞金計劃報告，而不是向新的安全漏洞賞金計劃報告。

該公司進一步澄清，一般內容政策繞過行為，如果沒有明顯的安全或濫用影響，則不符合獎勵條件。

例如，它明確指出，只會導致粗俗語言或容易搜尋到的資訊的“越獄”不在討論範圍內。

然而，能夠發現可直接對使用者造成傷害的缺陷並提出可操作的修復方案的研究人員，仍可根據具體情況獲得獎勵。

OpenAI 還表示，它會定期開展針對特定危害型別的私人漏洞賞金活動，包括 ChatGPT Agent 和 GPT-5 中的生物風險內容問題。

研究人員現在可以透過 Bugcrowd 向安全漏洞賞金計劃提交問題。 OpenAI 的一個團隊負責安全漏洞賞金計劃和安保漏洞賞金計劃，該團隊將對提交的問題進行分類，並可能根據問題的範圍和責任歸屬，將問題重新分配到兩個計劃中。