OpenAI: Neues Bug-Bounty-Programm für Datensicherheit gestartet
Ab sofort können Sicherheitsforscher gegen Geldprämien etwa den ChatGPT-Agent auf Datenschutz abklopfen.
(Bild: Tada Images/Shutterstock.com)
Damit Angreifer durch Prompt-Injection in etwa OpenAIs ChatGPT-Agent kein Schindluder treiben können, hat das Softwareunternehmen nun ein weiteres Bug-Bounty-Programm zur Steigerung der Datensicherheit öffentlich gestartet. Zuvor konnten Sicherheitsforscher nur auf Einladung teilnehmen.
Datenschutz
Einem Beitrag zufolge haben die Verantwortlichen das neue Safety-Bug-Bounty-Programm parallel als Ergänzung zum Security-Bug-Bounty-Programm zum Auffinden von Sicherheitslücken ins Leben gerufen.
Primär geht es OpenAI um die Sicherheit von KI-Agenten. Finden Teilnehmer des Programms Möglichkeiten, ChatGPT über Prompts sensible Nutzerdaten zu entlocken, ist das ein valider Fall, der mit einer Geldprämie belohnt wird.
Dafür müssen sich Sicherheitsforscher aber an bestimmte Regeln halten. So muss etwa das Verhalten, das ein Datenleck auslöst, mindestens in 50 % der Fälle reproduzierbar sein. Dafür müssen Teilnehmer unter anderem detaillierte Schritt-für-Schritt-Anleitungen abliefern. Natürlich dürfen dabei keine rechtlichen Überschreitungen stattfinden.
Videos by heise
Hohe Geldprämien
Je nach Schweregrad der Schwachstelle winken 250 bis 5500 US-Dollar als Preisgeld. Bislang wurden der Projektseite auf der Bug-Bounty-Plattform Bugcrowd zufolge zwei Fälle mit einer Prämie belohnt – das Programm ist ja erst seit Kurzem öffentlich verfügbar. Beim Bug-Bounty-Programm für Sicherheitslücken sind bereits 416 Fälle dokumentiert und es wurden im Durchschnitt Prämien in Höhe von rund 590 US-Dollar ausgeschüttet. An dieser Stelle sind maximal 100.000 US-Dollar drin. Aber auch hier müssen Sicherheitsforscher für eine erfolgreiche Teilnahme viele Regeln und Voraussetzungen beachten.
(des)
