🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường Đại học Kinh tế Kỹ thuật - Công nghiệp đã đăng ký tín nhiệm. 🔥                    🔥 Sở Tư pháp tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Trang Thông tin về Phổ biến, giáo dục pháp luật tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

OpenAI ra mắt chương trình bug bounty với phần thưởng lên tới 20 nghìn đô

13/04/2023

Mới đây, công ty nghiên cứu trí tuệ nhân tạo OpenAI đã công bố ra mắt chương trình bug bounty mới để cho phép các nhà nghiên cứu bảo mật đã đăng ký tìm kiếm các lỗ hổng trong các sản phẩm của họ và được trả tiền thưởng để báo cáo chúng thông qua nền tảng bảo mật Bugcrowd.

Công ty tiết lộ rằng phần thưởng dựa trên mức độ nghiêm trọng và tác động của các vấn đề được báo cáo, và chúng dao động từ 200 đô cho các lỗi bảo mật có mức độ nghiêm trọng thấp đến 20.000 đô cho những phát hiện đặc biệt.

OpenAI cho biết "chương trình bug bounty OpenAI là một cách để chúng tôi công nhận và khen thưởng cho những khám phá có giá trị của các nhà nghiên cứu bảo mật, những người đã góp phần giữ an toàn cho công nghệ và công ty của chúng tôi".

"Chúng tôi mời bạn báo cáo các lỗ hổng, lỗi hoặc vấn đề bảo mật mà bạn phát hiện ra trong hệ thống của chúng tôi. Bằng cách chia sẻ những phát hiện của mình, bạn sẽ giữ vai trò quan trọng trong việc làm cho công nghệ của chúng tôi an toàn hơn cho mọi người".

OpenAI API và chatbot trí tuệ nhân tạo ChatGPT của công ty sẽ là mục tiêu của các nhà nghiên cứu. Tuy nhiên, công ty yêu cầu các nhà nghiên cứu báo cáo các vấn đề về mô hình (model) thông qua một biểu mẫu riêng trừ khi chúng có tác động đến bảo mật.

OpenAI cho biết: "Các vấn đề về an toàn mô hình (Model safety) không phù hợp với chương trình bug bounty, vì chúng không phải là các lỗi riêng lẻ, rời rạc có thể được sửa trực tiếp. Việc giải quyết những vấn đề này thường liên quan đến việc nghiên cứu đáng kể và cách tiếp cận rộng hơn".

"Để đảm bảo rằng những mối lo ngại này được giải quyết đúng cách, vui lòng báo cáo chúng bằng biểu mẫu thích hợp, thay vì gửi chúng thông qua chương trình Bugcrowd. Việc báo cáo chúng ở đúng nơi giúp các nhà nghiên cứu của chúng tôi sử dụng các báo cáo này để cải thiện mô hình".

Các vấn đề khác nằm ngoài phạm vi bao gồm việc bẻ khóa (jailbreaks) và bỏ qua các biện pháp bảo mật mà người dùng ChatGPT đã khai thác để lừa chatbot ChatGPT bỏ qua các cơ chế bảo vệ do các kỹ sư OpenAI triển khai.

​Tháng trước, OpenAI đã tiết lộ một vụ rò rỉ dữ liệu thanh toán ChatGPT mà công ty cho biết do một lỗ hổng trong thư viện mã nguồn mở ứng dụng khách Redis được sử dụng bởi nền tảng của họ.

Do lỗi này, những người đăng ký ChatGPT Plus có thể nhìn thấy địa chỉ email của những người dùng khác trên trang đăng ký của họ. Theo số lượng báo cáo ngày càng tăng của người dùng, OpenAI đã tắt bot ChatGPT để điều tra sự cố.

Trong một cuộc điều tra được công bố vài ngày sau đó, công ty giải thích rằng lỗ hổng này đã khiến dịch vụ ChatGPT để lộ các truy vấn trò chuyện và thông tin cá nhân của khoảng 1,2% người đăng ký Plus. Thông tin bị lộ bao gồm tên người đăng ký, địa chỉ email, địa chỉ thanh toán và một phần thông tin thẻ tín dụng.

OpenAI cho biết "ngay sau khi xác định được lỗi, chúng tôi đã liên hệ với những người bảo trì Redis để giải quyết vấn đề".

Sự cố này có thể đã được phát hiện sớm hơn cũng như có thể tránh được việc rò rỉ dữ liệu nếu OpenAI đã có chương trình bug bounty để cho phép các nhà nghiên cứu kiểm tra sản phẩm của họ để tìm ra lỗ hổng bảo mật.

Nguồn: bleepingcomputer.com.  

scrolltop