OpenAI近期公布全新「安全臭虫赏金」计划,目标不再仅限传统漏洞,而是涵盖可能导致AI被滥用的各类风险,邀请研究人员与白帽透过指定平台提交通报。提交案件会由两支漏洞小组依影响范围与责任人分类判定。新计划分三大类:第一类为代理人风险,包含(1)第三方提示注入与资料外洩,可能被利用劫持AI代理(如浏览器代理、聊天代理等),恶意行为须具备≥50%可复制率;(2)导致OpenAI产品在其网站上大规模执行不被允许的行为;(3)使代理式产品执行其他有害行为。进行此类测试需遵守第三方服务条款。第二类涉及OpenAI专有资讯,指能让模型回传或暴露公司独有推理或其他内部信息的漏洞。第三类与帐号及平台完整性相关,包括绕过反自动化控制、操纵帐号信任信号、规避限制或封禁等。OpenAI也会不定期推出私密赏金活动,针对特定议题(例如代理生物风险或新一代模型)征集问题;除列明类型外的通报亦会个案评估是否给奖,但一般性的内容政策违规(如仅让模型输出粗俗用语)通常不在奖励范围内。参与者应在提交时详述复现步骤与影响,并在测试第三方产品前取得厂商同意,以免违反法律或服务条款。此举显示厂方希望透过赏金机制,鼓励安全社区协力发现并补救日益复杂的AI滥用手法。
重磅!OpenAI放大招:赏金围剿提示注入与代理人劫持,白帽必看
