OpenAI تعرض مكافآت تصل إلى 20 ألف دولار لمكتشفي الثغرات
أعلنت شركة (أوبن أي آي) OpenAI يوم الثلاثاء عن إطلاق برنامج جديد يحصل بموجبه الباحثون الأمنيون المسجلون على مكافآت مالية لقاء اكتشاف الثغرات في منتجاتها، والإبلاغ عنها عبر منصة Bugcrowd.
وأوضحت الشركة الأمريكية لأبحاث الذكاء الاصطناعي أن المكافآت ترتكز على شدة المشكلات المبلغ عنها وتأثيرها، وتتراوح من 200 دولار للعيوب الأمنية المنخفضة الخطورة حتى 20,000 دولار للاكتشافات الاستثنائية.
وقالت (أوبن أي آي) في منشور على مدونتها: «إن برنامج (أوبن أي آي) لمكافآت الثغرات OpenAI Bug Bounty Program وسيلتنا للتعرف على الرؤى القيّمة للباحثين الأمنيين الذين يساهمون في الحفاظ على أمن تقنيتنا وشركتنا، ومكافأتهم».
وأضافت: «ندعوك للإبلاغ عن نقاط الضعف أو الأخطاء أو العيوب الأمنية التي تكتشفها في أنظمتنا. ومن خلال مشاركة نتائجك، فإنك ستؤدي دورًا مهمًا في جعل تقنيتنا أكثر أمانًا للجميع».
وفي حين أن واجهة برمجة التطبيقات API الخاصة بالشركة وروبوت الدردشة الذكي (شات جي بي تي) ChatGPT التابع لها، يُمثِّلان الهدفين الرئيسيين لصائدات المكافآت، طلبت الشركة من الباحثين الإبلاغ عن المشكلات الأخرى التي قد لا يكون لها تأثير أمني عبر نموذج منفصل.
موضوعات ذات صلة بما تقرأ الآن:
وتشمل المشكلات الأخرى عمليات كسر الحماية وتجاوز الأمان التي يستغلها مستخدمو (شات جي بي تي) لخداع روبوت الدردشة لتجاهل الإجراءات الوقائية التي ينفذها مهندسو (أوبن أي آي).
وفي الشهر الماضي، كشفت شركة (أوبن أي آي) OpenAI عن تسرب لبيانات الدفع الخاصة بـ (شات جي بي تي)، وألقت باللوم فيه على خطأ في مكتبة مفتوحة المصدر لعميل Redis التي تستخدمها منصتها.
وبسبب الخطأ، رأى مشتركو (شات جي بي تي بلس) ChatGPT Plus عناوين البريد الإلكتروني للمستخدمين الآخرين على صفحات الاشتراك الخاصة بهم. وبعد تدفق متزايد من تقارير المستخدمين، أوقفت (أوبن أي آي) تشغيل روبوت (شات جي بي تي) للتحقيق في المشكلة.
وفي تقرير نُشر بعد أيام ، أوضحت الشركة أن الخطأ تسبب في كشف (شات جي بي تي) لاستفسارات الدردشة والمعلومات الشخصية لما يقرب من 1.2 في المئة من مشتركي الخدمة المأجورة.
وتضمنت المعلومات المكشوفة أسماء المشتركين، وعناوين البريد الإلكتروني، وعناوين الدفع، ومعلومات بطاقة الائتمان الجزئية.
وقالت (أوبن أي آي): «اِكتُشف الخطأ في مكتبة عميل Redis المفتوح المصدر، redis-py. وبعد تحديد الخطأ، تواصلنا مع المشرفين على Redis مع تصحيح لحل المشكلة».
وعلى الرغم من أن الشركة لم تربط إعلان برنامج المكافآت بهذا الحادث الأخير، فمن المحتمل أن تكون المشكلة قد اكتُشفت في وقت سابق، وربما كان بالإمكان تجنب تسرب البيانات إن كانت (أوبن أي آي) قد أطلقت برنامجًا للمكافآت قبل ذلك يشجع الباحثين على اختبار منتجاتها من أجل اكتشاف العيوب الأمنية.