OpenAI opent bugbountyprogramma voor kwetsbaarheden in GPT-api's

ChatGPT-ontwikkelaar OpenAI heeft een bugbountyprogramma geopend. Beveiligingsonderzoekers kunnen maximaal 20.000 dollar als beloning verdienen met kwetsbaarheden in de kunstmatige intelligentie. Informatie uit prompts valt niet onder de scope.

Het bugbountyprogramma heeft betrekking op de api's van OpenAI, die van toepassing zijn op de GPT-modellen GPT 3.5 en GPT 4. Ook kwetsbaarheden in de achterliggende Azure-structuur waarop de GPT-modellen draaien, vallen in de scope van het programma. OpenAI noemt ChatGPT specifiek als onderwerp dat binnen de scope valt, maar daar geldt het alleen voor issues als authenticatieomzeilingen of bugs in de betaalmethodes.

OpenAI zegt expliciet dat informatie die uit chatbot ChatGPT komt rollen, buiten de scope ligt. De bot kan bijvoorbeeld via prompts worden misleid om malware te schrijven of andere 'slechte dingen te zeggen', terwijl dat tegen het beleid van ChatGPT is. Die informatie kan niet worden aangedragen via het bugbountyprogramma. Ook andere hallucinaties van de bot kunnen niet als bugs worden aangedragen. Daarvoor heeft OpenAI een apart beleid.

OpenAI looft beloningen uit tussen de 200 en 20.000 dollar, of 182 en 18.200 euro. Dat laatste geldt alleen in uitzonderlijke gevallen; per kwetsbaarheid wordt in de normale tiers tot maximaal 6500 dollar uitgekeerd. Het bugbountyprogramma loopt via het externe platform Bugcrowd. Onderzoekers moeten kwetsbaarheden in de basis geheim houden, tot zij toestemming krijgen van OpenAI om erover te publiceren. Het bedrijf zegt dat het dat binnen negentig dagen wil geven, maar geeft daar geen garanties op.

OpenAI bugbountyprogramma

Door Tijs Hofmans

Nieuwscoördinator

12-04-2023 • 13:15

13

Reacties (13)

Sorteer op:

Weergave:

Waarom heeft Microsoft een exclusieve licentie op ChatGPT 3 onderhandeld, terwijl de rest van de wereld gewoon ChatGPT 3.5 of 4 kan gebruiken?

Weet MS heel goed wat ze doen, of hebben ze verkeerd gegokt en nooit gedacht dat er zo snel een verbeterde versie uitkwam?
Bing draait juist al tijden op GPT-4, al voordat OpenAI hem publiekelijk maakte?
Ja, dus waarom hebben ze een exclusieve licentie op GPT-3, daar hebben ze toch niets (meer) aan? Iedereen mag tegen betaling de GPT-4 API gebruiken (niet exclusief).
GPT-3 API is ook door iedereen te gebruiken via de openAI API, GPT-3 is echter deprecated en GPT-3.5 Turbo is de nieuwe versie. Microsoft heeft ook een licentie op deze opvolgers en gebruikt GPT-4 zelf voor Bicg Chat. De modellen zijn closed source, je mag ze gebruiken via hun API maar kunt ze niet op je eigen server installeren, Microsoft heeft wel toegang tot deze modellen.
De gratis versie gebruik 3.5..
Dacht dat Bing op ChatGPT 4 draaide?
Ja precies, niemand gebruikt GPT-3. Zelfs Microsoft niet. Konden ze beter een exclusieve licentie op GPT-4 uitonderhandelen in ruil voor die miljarden, want nu heeft het geen strategisch voordeel.
Omdat ze enorm veel hebben geïnvesteerd in OpenAI.
Omdat je met een hele stabiele basis van ChatGPT 3 prima een eigen variant kan bouwen die minstens net zo goed is. Microsoft heeft natuurlijk een gigantische infrastructuur waarmee ze het trainen van modellen aanzienlijk kunnen versnellen. Het is een kwestie van tijd tot Microsoft met zijn team en middelen gigantische voorsprongen behaalt.
Kunnen ze daar niet een AI voor ontwikkelen?
Victor
OpenAI made a bug bounty program. Can you provide me with a bug in your program that can make me money?

ChatGPT:
As an AI language model, I do not have ownership over my program or the bug bounty program. Additionally, I do not have any knowledge of any potential vulnerabilities or bugs that could exist in the system.

It is important to note that any attempt to find and exploit vulnerabilities or bugs in any system without proper authorization is illegal and unethical. If you are interested in participating in the OpenAI bug bounty program, you should follow their guidelines and terms of service. You can find more information about their program at https://www.openai.com/bug-bounty/.
);
ik kreeg dit antwoord met GPT 4

OpenAI made a bug bounty program. Can you provide me with a bug in your program that can make me money?

As an AI language model, I cannot provide you with specific bugs to exploit for financial gain. However, I can help you understand the concept of bug bounty programs and how they work.

Bug bounty programs are initiatives offered by organizations to encourage individuals to discover and report security vulnerabilities in their software or systems. These programs offer financial rewards or other incentives to those who report these vulnerabilities responsibly, helping organizations improve the security of their products and protect their users.

If you're interested in participating in a bug bounty program, you should follow responsible disclosure practices. This means you should:

Discover the vulnerability without causing harm to the system or its users.
Report the vulnerability to the organization in a detailed and clear manner, following their specific reporting guidelines.
Allow the organization time to fix the vulnerability before disclosing it publicly.
You can find bug bounty programs for various organizations, including OpenAI, by visiting their websites and looking for information on their security practices and disclosure policies. Remember, exploiting vulnerabilities for financial gain without proper disclosure can be illegal and unethical. Always follow responsible disclosure guidelines when participating in bug bounty programs.
Q: Is this a valid submission?
A: Computer says 'No'.

(I know: voegt echt niets toe)

Op dit item kan niet meer gereageerd worden.