行业新闻与博客

OpenAI 推出了一项新的漏洞赏金计划，旨在鼓励研究人员解决其产品中存在的 AI 滥用和安全风险。

新的安全漏洞赏金计划于 3 月 26 日宣布，并在 Bugcrowd 平台上运行。

它与该公司在 Bugcrowd 上托管的安全漏洞赏金计划相辅相成，该计划自 2023 年 4 月推出以来，已奖励了 OpenAI 产品中的 409 个安全漏洞。

OpenAI 希望通过安全漏洞赏金计划，鼓励用户披露其产品中存在“有意义的滥用和安全风险”的问题，即使这些问题不符合安全漏洞的标准。

该新计划涵盖的场景包括：

• 代理风险，包括模型上下文协议 (MCP) 滥用、第三方提示注入、数据泄露、在 OpenAI 网站上大规模执行禁止操作或其他潜在的有害未列明行为
• 违反账户和平台完整性的行为（例如绕过反自动化控制、操纵账户信任信号、规避账户限制 / 暂停 / 封禁）
• OpenAI 专有信息滥用（例如，模型生成返回与推理相关的专有信息；漏洞暴露其他 OpenAI 专有信息）

主要区别：OpenAI 的安全漏洞赏金计划与安全漏洞赏金计划

OpenAI 指出，涉及用户访问超出授权权限的功能、数据或特性的完整性违规行为，应向安全漏洞赏金计划报告，而不是向新的安全漏洞赏金计划报告。

该公司进一步澄清，一般内容政策绕过行为，如果没有明显的安全或滥用影响，则不符合奖励条件。

例如，它明确指出，只会导致粗俗语言或容易搜索到的信息的“越狱”不在讨论范围内。

然而，能够发现可直接对用户造成伤害的缺陷并提出可操作的修复方案的研究人员，仍可根据具体情况获得奖励。

OpenAI 还表示，它会定期开展针对特定危害类型的私人漏洞赏金活动，包括 ChatGPT Agent 和 GPT-5 中的生物风险内容问题。

研究人员现在可以通过 Bugcrowd 向安全漏洞赏金计划提交问题。 OpenAI 的一个团队负责安全漏洞赏金计划和安保漏洞赏金计划，该团队将对提交的问题进行分类，并可能根据问题的范围和责任归属，将问题重新分配到两个计划中。