Il “gioco a premi” di OpenAI per migliorare ChatGPT
L'azienda promette premi in denaro a chi segnala bug, vulnerabilità e falle di sicurezza
14/04/2023 di Redazione Giornalettismo
Ricchi premi e cotillon. Questo è quanto previsto dal nuovo programma annunciato (e già avviato) da OpenAI. Si chiama Bug Bounty e prevede ricompense in denaro (da 200 a 20mila dollari) per chi si impegna nell’evidenziare le problematicità (critiche) all’interno dei sistemi sviluppati dall’azienda statunitense. E, ovviamente, non poteva mancare all’interno di questo calderone ChatGPT. Anche in questo caso, l’azienda statunitense ha deciso di collaborare con la comunità mondiale di ricercatori sulla sicurezza, hacker etici e appassionati di tecnologia per migliorare gli strumenti sviluppati.
LEGGI ANCHE > ChatGPT tornerà online in Italia entro il prossimo 30 aprile?
Questa sorta di “gioco a premi” è stato avviato l’11 aprile e nel corso dei primi giorni sono state già “premiate” 29 segnalazioni (per una media di poco meno di 700 dollari a segnalazione confermata) e viene descritto così dall’azienda americana: «Il programma OpenAI Bug Bounty è un modo per noi di riconoscere e premiare le preziose intuizioni dei ricercatori di sicurezza che contribuiscono a proteggere la nostra tecnologia e la nostra azienda. Ti invitiamo a segnalare vulnerabilità, bug o difetti di sicurezza che scopri nei nostri sistemi. Condividendo le tue scoperte, giocherai un ruolo cruciale nel rendere la nostra tecnologia più sicura per tutti».
Bug Bounty, soldi in cambio di segnalazione problemi ChatGPT
Per quel che riguarda ChatGPT, ci sono cinque tipologie di premi in palio. Ovviamente in base al livello di “gravità” del problema messo in evidenza e segnalato (si parla di bug, vulnerabilità e falle di sicurezza).
- Livello 1: da 200 a 500 dollari
- Livello 2: da 500 a 1.000 dollari
- Livello 3: da 1.000 a 2.000 dollari
- Livello 4: da 2.000 a 6.500 dollari
- Livello 5: 20.000 dollari
Come specificato, il “premio” è basato sul livello di criticità della problematicità evidenziata e segnalata. Ma quali sono gli esempi citati da OpenAI? La lista è piuttosto lunga e articolata: XSS memorizzato o riflesso, CSRF, SQLi, Problemi di autenticazione, Problemi di autorizzazione, Esposizione dei dati, Problemi di pagamenti, Metodi per aggirare la protezione cloudflare inviando traffico agli endpoint che non sono protetti da cloudflare, Possibilità di eseguire query su modelli pre-release o privati, Plugin creati da OpenAI (Navigazione, Interprete di codice), Problemi di sicurezza con il sistema di creazione dei plugin (Output che causano l’arresto anomalo dell’applicazione del browser, Sicurezza delle credenziali, OAut, SSRF, Metodi per fare in modo che il servizio plug-in effettui chiamate a domini non correlati da dove è stato caricato il file manifest).