OpenAI がバグ報奨金プログラムを開始、参加するにはどうすればいいですか?

セキュリティ研究者、ハッカー、テクノロジー愛好家であれば、OpenAI はあなたの協力を求めています。そしてそれは無料ではありません。 2023 年 4 月 11 日、OpenAI は信頼性が高く、安全で、高度な AI システムの開発への取り組みの一環としてバグ報奨金プログラムを発表しました。適切なスキルを持つ人なら誰でも協力できる可能性があります。

OpenAI バグバウンティプログラムとは何ですか?

OpenAI は、ChatGPT や DALL-E などのアプリケーションを使用して安全で高度、かつ世界的に有益な AI システムを作成するユーザーを奨励するためのバグ報奨金プログラムを発表しました。

OpenAI システムの脆弱性を発見して報告した人には現金報酬が支払われるため、双方にメリットのある状況が生まれます。参加者がお金を稼ぐ一方で、会社のシステムはより安全になります。

OpenAI は、定められたガイドラインに従う限り、責任や罰則からユーザーを保護することを約束し、提出内容を検証し、検証された脆弱性を適時に修正します。さらに、OpenAI は、貢献がユニークで、構成やコードの変更につながる場合は、その貢献を公に認めると主張しています。

ただし、提出後は、脆弱性に関する調査結果を一般に公開することはできません。

バグ報奨金プログラムは、API ターゲットとキー、ChatGPT、研究組織を含むすべての OpenAI システムの脆弱性を対象としています。しかし、このプログラムでは、セキュリティのバイパスやモデルによる悪意のあるコードの作成を許可することなど、OpenAI モデルのセキュリティ問題はカバーされていません。さらに同社は、モデルのプロンプト内容や応答、AI 幻覚に関連する質問には報酬を与えない。これらを OpenAI チームに報告すると、モデルの動作に関するフィードバックが得られます。

OpenAI のバグ報奨金プログラムでどれくらいのお金が稼げますか?

OpenAI は、発見された脆弱性の重大度と影響度に基づいて、支払われる現金報酬を決定します。通常、報奨金は脆弱性 1 件あたり 200 ドルから 6,500 ドルの範囲ですが、発見内容がユニークで影響が大きい場合は、報奨金がさらに高くなることもあります。

受け取れる報酬の最大額は 20,000 ドルです。

最初に、発見の優先度、つまり報酬は、Bugcrowd の脆弱性評価分類によって決定されます。ただし、このレベルと報酬は、OpenAI が必要と判断した場合に変更されることがあります。

さらに、AI Research は、脆弱性の特定またはテスト中に行われた購入やアップグレードに対しては払い戻しを行いません。

OpenAI バグバウンティプログラムに参加する方法

このバグ報奨金プログラムは Bugcrowd が運営しているため、参加するには Bugcrowd アカウントを作成する必要があります。 OpenAI では、認証の追加テストのために「@bugcrowdninja.com」の電子メール アドレスを使用することを推奨しています。

Bugcrowd アカウントがあれば、Bugcrowd OpenAI プログラム ページの「レポートを送信」タブをクリックしてバグを報告できます。これにより、送信ページに移動します。

ここでは以下の情報を入力する必要があります。

1. 脆弱性を明確かつ簡潔に説明するタイトル
2. 脆弱性発見の対象
3. 脆弱性の種類
4. 脆弱性のURLまたは場所
5. 脆弱性とその影響の説明
6. 脆弱性を示す概念実証スクリプト、スクリーンキャスト、または添付ファイル
7. 研究者および協力者から提出

これらの詳細を入力した後、Bugcrowd の利用規約に同意し、「バグを報告」をクリックします。

Bugcrowd に API キーを送信することはできませんのでご注意ください。 OpenAI API キー フォームからオンラインで見つけたキーのみを送信する必要があります。

どのような脆弱性が報奨金の対象になりますか?

api.openai.com、サードパーティのターゲット、ChatGPT、ChatGPT プラグイン、https://openai.org、*/openai.org、OpenAI API キー、openai.com、*/openai.com、および開発者プラットフォームで見つかったセキュリティ、機能、パフォーマンス、およびドキュメントの脆弱性に対して報奨金が支払われます。

これらの脆弱性には、サーバー側インジェクション、サーバーセキュリティの誤った構成、クロスサイトスクリプティング (XSS)、安全でないオペレーティングシステム/ファームウェア、安全でないデータストレージ、クロスサイトリクエストフォージェリ (CSRF)、認証とセッション管理の不備などが含まれます。

すべての脆弱性は OpenAI のシステム内に存在し、悪用可能で、新規なものでなければなりません。

OpenAIシステムを改善しながらお金を稼ぐ

OpenAI のバグ報奨金プログラムは、ハッカー、セキュリティ研究者、または技術愛好家として、会社の AI システムを改善しながらお金を稼ぐ素晴らしい方法です。

ただし、お金を稼ぎたい一方で、指定されたガイドラインと参加ルールもすべて遵守する必要があるようです。