La société de recherche en intelligence artificielle OpenAI a annoncé aujourd’hui le lancement d’un nouveau programme de primes de bogues pour permettre aux chercheurs en sécurité enregistrés de découvrir des vulnérabilités dans sa gamme de produits et d’être payés pour les signaler via la plateforme de sécurité participative Bugcrowd.

Comme l’entreprise l’a révélé aujourd’hui, les récompenses sont basées sur la gravité et l’impact des problèmes signalés, et elles vont de 200 $ pour les failles de sécurité de faible gravité à 20 000 $ pour les découvertes exceptionnelles.

« Le programme OpenAI Bug Bounty est un moyen pour nous de reconnaître et de récompenser les précieuses informations des chercheurs en sécurité qui contribuent à la sécurité de notre technologie et de notre entreprise », a déclaré OpenAI.

« Nous vous invitons à signaler les vulnérabilités, bogues ou failles de sécurité que vous découvrez dans nos systèmes. En partageant vos découvertes, vous jouerez un rôle crucial pour rendre notre technologie plus sûre pour tous. »

Cependant, alors que l’interface de programmation d’applications (API) OpenAI et son chatbot d’intelligence artificielle ChatGPT sont des cibles ciblées pour les chasseurs de primes, la société a demandé aux chercheurs de signaler les problèmes de modèle via un formulaire séparé, sauf s’ils ont un impact sur la sécurité.

« Les problèmes de sécurité des modèles ne s’intègrent pas bien dans un programme de primes de bogues, car ce ne sont pas des bogues individuels et discrets qui peuvent être directement corrigés. La résolution de ces problèmes implique souvent des recherches substantielles et une approche plus large », a déclaré OpenAI.

« Pour vous assurer que ces préoccupations sont correctement traitées, veuillez les signaler en utilisant le formulaire approprié, plutôt que de les soumettre via le programme de primes de bogues. Les signaler au bon endroit permet à nos chercheurs d’utiliser ces rapports pour améliorer le modèle. »

D’autres problèmes hors de portée incluent les jailbreaks et les contournements de sécurité que les utilisateurs de ChatGPT ont exploités pour inciter le chatbot ChatGPT à ignorer les protections mises en œuvre par les ingénieurs d’OpenAI.

Le mois dernier, OpenAI a révélé une fuite de données de paiement ChatGPT que la société a imputée à un bogue dans le bogue de la bibliothèque open source du client Redis utilisé par sa plate-forme.

En raison du bogue, les abonnés ChatGPT Plus ont commencé à voir les adresses e-mail d’autres utilisateurs sur leurs pages d’abonnement. Suite à un flux croissant de rapports d’utilisateurs, OpenAI a mis le bot ChatGPT hors ligne pour enquêter sur un problème.

Dans un post-mortem publié quelques jours plus tard, la société a expliqué que le bogue avait amené le service ChatGPT à exposer les requêtes de chat et les informations personnelles d’environ 1,2 % des abonnés Plus.

Les informations exposées comprenaient les noms des abonnés, les adresses e-mail, les adresses de paiement et des informations partielles sur les cartes de crédit.

« Le bogue a été découvert dans la bibliothèque open source du client Redis, redis-py. Dès que nous avons identifié le bogue, nous avons contacté les responsables de Redis avec un correctif pour résoudre le problème », a déclaré OpenAI.

Bien que la société n’ait pas lié l’annonce d’aujourd’hui à cet incident récent, le problème aurait potentiellement été découvert plus tôt, et la fuite de données aurait pu être évitée si OpenAI avait déjà un programme de primes de bogues en cours d’exécution pour permettre aux chercheurs de tester ses produits pour failles de sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *