OpenAIは4月11日(現地時間)、同社が提供するAIシステムの脆弱性、バグ、セキュリティ欠陥の報告に報酬を支払うプログラム「OpenAI Bug Bounty Program」の開始を発表した。
報酬額は最高およそ270万円
同プログラムは、バグバウンティプラットフォームの「Bugcrowd」を利用して運用される。
OpenAIは、セキュリティ研究者、倫理的ハッカー、技術愛好家などのコミュニティーを対象に協力を呼びかけており、報告に対して報酬を提示している。
報酬額は報告された問題の重大性に基づき、最低200ドル(およそ2万7000円)から最高2万ドル(およそ270万円)までの範囲で設定されている。
「API」に対する報告の条件が詳細に提示されている
同プログラムの対象となるのは、同社が提供するAPI、APIの提供に関わるAzureなどのパブリッククラウドやインフラストラクチャ、ChatGPT、APIキー、ドキュメント、OpenAIのAPIを使用しているサードパーティー製品などで、それぞれ優先度ごとの詳細な報酬額やルールなどが記載されている。
また、善意のハッキングと悪意のある攻撃を区別するため、プライバシーの侵害やシステム・データの破壊といった禁止事項や、OpenAIのセキュリティチームによって許可を得るまで脆弱性の詳細を公開しないといったルールの遵守が求められている。
Bugcrowdにはリアルタイムで報告数や平均報酬額が表示される
4月12日(日本時間)時点ですでに10個の脆弱性が報告されており、平均報酬額は1825ドル(およそ24万円)。報告に対する回答時間はおよそ2時間となっている。
モデルの安全性に関する問題は対象外
ただし、特定の悪意あるプロンプトを使用してChatGPTの制約を外し、政治的・暴力的な言葉や、倫理・法律に反する回答を出力させたりする手法である「プロンプトインジェクション」など、モデルの安全性や振る舞いに関する問題は、直接修正できる個別のバグではないため、このプログラムの対象とならない。
これらの問題は別途用意された「Model behavior feedback」フォームでの報告を推奨されている。
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります