Via la plateforme spécialisée Bugcrowd, OpenAI introduit un programme de bug bounty. Les hackers éthiques et chercheurs en sécurité sont ainsi conviés à prendre part à une chasse aux vulnérabilités dans les systèmes de l'entreprise d'intelligence artificielle générative.
Pour la recherche de failles, les API d'OpenAI, ChatGPT ou encore les expositions par le biais de services tiers font partie du périmètre d'exploration. Toutefois, il ne s'agira par exemple pas avec ChatGPT de jailbreak, de problèmes en lien avec des prompts ou des réponses du modèle. Pas la peine d'essayer de faire halluciner l'IA...
Des règles sont clairement établies et à consulter sur la page dédiée de Bugcrowd. En fonction de la gravité et de l'impact des soucis de sécurité mis au jour et dûment signalés, les découvertes de vulnérabilités seront récompensées de 200 $ à 20 000 $.
Après le bug de l'historique de ChatGPT
" Nous reconnaissons l'importance de vos contributions et nous nous engageons à reconnaître vos efforts ", écrit OpenAI en s'adressant à la communauté des chercheurs en sécurité. C'est l'essence même des programmes de Bug Bounty et OpenAI n'y coupe pas.
L'initiative d'OpenAI est judicieuse après l'affaire du bug de l'historique de ChatGPT, et ses conséquences sur la visibilité d'informations de paiement en rapport avec l'abonnement ChatGPT Plus. Une fuite d'informations de paiement qui aurait touché environ 1,2 % des utilisateurs de ChatGPT Plus ayant eu recours au service le lundi 20 mars.
Le bug a pour rappel été imputé à un problème avec le client Redis Python pour le logiciel open source Redis (Remote Dictionary Server), et la mise en cache d'informations des utilisateurs.
Déjà de premiers résultats
" La mission d'OpenAI est de créer des systèmes d'intelligence artificielle qui profitent à tous. À cette fin, nous investissons massivement dans la recherche et l'ingénierie pour garantir que nos systèmes d'IA sont sûrs et sécurisés. Cependant, comme toute technologie complexe, nous sommes conscients que des vulnérabilités et des failles peuvent apparaître ", déclare OpenAI.
Actuellement, 14 vulnérabilités ont été découvertes et sont éligibles à une récompense pour un montant moyen de l'ordre de 1 290 $. Le temps de réponse après un signalement est d'environ 3 heures dans 75 % des rapports soumis.
Il est précisé que le programme de bug bounty d'OpenAI n'autorise pas une divulgation publique des informations sur les vulnérabilités découvertes.
