在經歷一系列安全問題之后，OpenAI推出漏洞賞金計劃

人工智能研究公司 OpenAI 4月11日宣布推出一項新的漏洞賞金計劃，允許注冊安全研究人員發現其產品線中的漏洞，并通過Bugcrowd眾包安全平臺報告這些漏洞從而獲得報酬。

正如該公司在公告中所說的那樣，獎勵是基于所報告漏洞的嚴重性和影響，其范圍從200美元到20000美元不等。

OpenAI稱，其使命是創建造福所有人類的AI（人工智能）系統，該公司已經大力投資研發，以確保AI系統安全可靠，“然而，與其他復雜技術一樣，漏洞和缺陷可能會出現。”

透明度和協作（transparency and collaboration）對解決這一問題至關重要。”OpenAI寫道，“這也是為什么我們想要邀請全球的安全研究人員、道德黑客和技術愛好者幫助我們識別和解決系統中的漏洞。我們很樂意為報告符合條件的漏洞的人提供獎勵。”

雖然OpenAI應用軟件接口（API）及其ChatGPT人工智能聊天機器人也是賞金計劃的范圍，但該公司要求研究人員通過一個單獨的表格報告模型問題，除非它們有安全影響。

OpenAI解釋道，模型安全問題并不適合在漏洞賞金計劃中使用，因為它們不是可以直接修復的單獨、不連續的漏洞。解決這些問題往往涉及大量的研究和更廣泛的方法。

“為了確保這些問題得到妥善解決，請使用適當的表格報告它們，而不是通過bug賞金計劃提交它們。在正確的地方報告它們，可以讓我們的研究人員使用這些報告來改進模型。”

其他不在范圍內的問題包括越獄和安全繞過，ChatGPT用戶一直在利用這些問題來欺騙ChatGPT聊天機器人，使其無視OpenAI工程師實施的保障措施。

上個月，OpenAI披露了ChatGPT的支付數據泄漏，問題的根源是在于其平臺使用的Redis客戶端開源庫的一個漏洞。

由于這個漏洞，ChatGPT Plus的用戶開始在他們的訂閱頁面上看到其他用戶的電子郵件地址。在越來越多的用戶報告之后，OpenAI將ChatGPT機器人下線以調查這一問題。

在幾天后發表的事后總結中，該公司解釋說，這個錯誤導致ChatGPT服務暴露了大約1.2%的Plus用戶的聊天查詢和個人信息。暴露的信息包括用戶姓名、電子郵件地址、支付地址和部分信用卡信息。

OpenAI的首席執行官Sam Altman隨后也對在推特上道歉，公開承認開源庫中出現錯誤，并表示已經修復了錯誤并完成驗證。

但這仍然引起了部分國家監管機構的注意。ChatGPT在歐洲地區遭受“冷遇”。此前3月31日，意大利宣布禁止使用ChatGPT，并限制其開發公司OpenAI處理意大利用戶信息。隨后，德國、法國和愛爾蘭在內的多個國家也紛紛表示考慮“封禁”該技術。

對于意大利的禁令，當地時間4月5日，OpenAI與意大利個人數據保護局舉行會議，OpenAI表示愿意與該機構進行合作，以解決其對數據安全的擔憂。

雖然該公司沒有將今天的公告與最近的事件聯系起來，但如果OpenAI已經有一個正在運行的漏洞賞金計劃，允許研究人員測試其產品的安全缺陷，那么這個問題就有可能更早被發現，而數據泄漏或許可以被避免。