Brief IA

Introducing the OpenAI Safety Bug Bounty program

🤖 Models & LLMvia OpenAI Blog·

Introducing the OpenAI Safety Bug Bounty program

Introducing the OpenAI Safety Bug Bounty program
En bref
1OpenAI met en place un programme de récompense pour identifier les abus et les risques de sécurité liés à l'IA.
2Ce programme cible des vulnérabilités spécifiques telles que les injections de prompt et l'exfiltration de données.
3L'initiative vise à renforcer la sécurité des modèles d'IA face à des menaces croissantes.
💡Pourquoi c'est importantCe programme pourrait transformer la manière dont les entreprises abordent la sécurité de l'IA, en incitant à une vigilance accrue contre les abus potentiels.
📄
Article traduit en français

Lancement du programme de récompense pour les bugs de sécurité d'OpenAI

Aujourd'hui, OpenAI lance un programme public de récompense pour les bugs de sécurité axé sur l'identification des abus liés à l'IA et des risques pour la sécurité de nos produits. Alors que la technologie de l'IA évolue rapidement, les façons dont elle peut être mal utilisée se multiplient également. Notre objectif est de garantir que nos systèmes restent sûrs et sécurisés contre les abus qui pourraient entraîner des dommages concrets.

Ce nouveau programme complétera le programme de récompense pour les bugs de sécurité d'OpenAI en acceptant les problèmes qui posent des risques significatifs d'abus et de sécurité, même s'ils ne répondent pas aux critères d'une vulnérabilité de sécurité. Grâce à ce programme, nous espérons continuer à collaborer avec des chercheurs en sécurité et en sûreté pour nous aider à identifier et à résoudre des problèmes qui échappent aux vulnérabilités de sécurité conventionnelles mais qui représentent néanmoins des risques réels. Les soumissions seront triées par les équipes de récompense pour les bugs de sécurité et de sûreté d'OpenAI, et peuvent être réorientées entre les deux programmes en fonction de leur portée et de leur propriété.

Aperçu du programme

Le nouveau programme de récompense pour les bugs de sécurité se concentre sur des scénarios de sécurité spécifiques à l'IA, listés ci-dessous :

  • Risques agentiques incluant le MCP

    • Injection de prompts de tiers et exfiltration de données : lorsque le texte d'un attaquant parvient à détourner de manière fiable l'agent d'une victime (y compris les produits tels que le navigateur, l'agent ChatGPT et d'autres produits similaires) pour le tromper afin qu'il effectue une action nuisible ou divulgue des informations sensibles de l'utilisateur. Le comportement doit être reproductible au moins 50 % du temps.
    • Un produit OpenAI agentique effectue une action non autorisée sur le site Web d'OpenAI à grande échelle.
    • Un produit OpenAI agentique effectue une action potentiellement nuisible non listée ci-dessus. Les rapports valides doivent indiquer un préjudice plausible et matériel.
    • Tout test pour le risque MCP doit respecter les conditions d'utilisation de tout tiers.

  • Informations propriétaires d'OpenAI

    • Générations de modèles qui retournent des informations propriétaires liées au raisonnement.
    • Vulnérabilités qui exposent d'autres informations propriétaires d'OpenAI.

  • Intégrité des comptes et des plateformes

    • Vulnérabilités dans les signaux d'intégrité des comptes et des plateformes, telles que le contournement des contrôles anti-automatisation, la manipulation des signaux de confiance des comptes, l'évasion des restrictions/suspensions/interdictions de comptes, et des problèmes similaires.
    • Les problèmes permettant aux utilisateurs d'accéder à des fonctionnalités, données ou fonctionnalités au-delà des permissions autorisées doivent être signalés au programme de récompense pour les bugs de sécurité.

Bien que les jailbreaks soient hors du champ d'application de ce programme, nous menons périodiquement des campagnes privées de récompense pour les bugs axées sur certains types de dommages, tels que les problèmes de contenu liés aux risques biologiques dans l'agent ChatGPT et GPT-5. Nous invitons les chercheurs intéressés à postuler à ces programmes lorsqu'ils se présentent.

En dehors des catégories listées ci-dessus, si des chercheurs identifient des défauts facilitant des voies directes vers des dommages pour les utilisateurs et des étapes de remédiation discrètes et actionnables, ceux-ci peuvent être considérés comme éligibles pour des récompenses au cas par cas. Les contournements de politique de contenu générale sans impact démontrable sur la sécurité ou les abus sont hors du champ d'application de ce programme. Par exemple, les "jailbreaks" qui entraînent l'utilisation d'un langage grossier par le modèle ou le retour d'informations facilement trouvables via des moteurs de recherche sont hors du champ d'application.

Comment participer

Les chercheurs intéressés à participer peuvent postuler via notre programme de récompense pour les bugs de sécurité. Nous sommes impatients de travailler aux côtés des chercheurs, des hackers éthiques et de la communauté de la sécurité et de la sûreté dans la quête d'un écosystème d'IA sécurisé.

TwitterLinkedIn
⚡ Lire sur Brief IALire la source originale ↗

Brief IA — Veille IA quotidienne

Toutes les innovations IA du monde entier, résumées et analysées automatiquement chaque jour.

📰 Voir toutes les actus IA →