본문 바로가기
AI · 인공지능/AI 뉴스

OpenAI가 ChatGPT 등 AI 시스템의 버그 보상금 프로그램을 개시

by 두우우부 2023. 4. 12.
반응형



대화형 AI ChatGPT를 개발한 AI 개발 기업 OpenAI가 버그 보상금 플랫폼 Bugcrowd와 제휴하여, AI 시스템의 안전을 확보하기 위해 새로운 버그 보상금 프로그램을 시작했습니다. 취약성을 보고한 보안 연구자에게는, 개개의 취약성에 대해 200달러 ~ 6500달러(약 26만 원 ~ 약 861만 원)가 주어져, 최대 2만 달러(약 2,650만 원)의 보상금이 증정된다는 것입니다.

OpenAI’s bug bounty program - Bugcrowd
https://bugcrowd.com/openai

OpenAI’s bug bounty program | Bugcrowd

Learn more about OpenAI’s bug bounty program powered by Bugcrowd, the leader in crowdsourced security solutions.

bugcrowd.com


OpenAI는 버그 보상 프로그램의 시작을 보고한 블로그에, "OpenAI는 AI 시스템이 안전하다는 것을 보장하기 위해 연구와 엔지니어링에 많은 투자를 하고 있지만, 모든 복잡한 기술과 마찬가지로 우리는 시스템에 취약성과 결함이 나타날 수 있다는 것을 알고 있습니다. 보안 연구원, 윤리적 해커, 기술 애호가 등 글로벌 커뮤니티에 우리 시스템의 취약성을 파악하고 이를 해결하기 위한 협력을 호소합니다. 취약성 정보에 대한 인센티브 제공을 통해 협력적인 정보 공개의 헌신을 구축하는 것에 흥분하고 있습니다."라고 말했습니다.

버그 보상 프로그램을 시작할 때는 다음과 같은 규칙에 따라 보안 취약점을 찾아야 합니다.

・발견된 취약성을 신속하게 보고할 것.
・프라이버시 침해, 시스템 중단, 데이터 파괴, 사용자 경험 침해를 삼갈 것.
・취약성의 보고는 Bugcrowd를 통해 실시할 것.
・OpenAI 보안 팀이 공개를 허용할 때까지 취약성의 세부 사항을 비밀로 유지할 것.
・OpenAI의 기밀 데이터를 포함한 타인의 데이터에 액세스 하거나, 변경 및 사용하지 않을 것.
・취약점으로 인해 이러한 데이터가 노출될 경우, 테스트를 중지하고 즉시 보고서를 보내며 데이터 복사본은 삭제할 것.
・OpenAI가 허용하지 않는 한 자신의 계정으로만 상호 작용할 것.
・취약성은 무조건 공개하고, 공갈이나 협박 등에 사용하지 말 것.


OpenAI는 지침에 따라 취해진 취약성 조사에 대해서는, 법률 위반을 불문하고 안전을 보장할 것이며, 보고서의 이해 및 검증에 협력하여 검증된 취약성을 적시에 수정할 것을 약속합니다.

버그 보상 프로그램의 대상으로는, OpenAI의 각종 API나 관련 인프라, 제삼자를 통해 공개된 기밀 정보, OpenAI에 의해 운영되고 있는 웹사이트 등에 더하여, ChatGPT의 로그인이나 서브스크립션 플랜, 플러그 인 등도 포함되어 있습니다.

그러나, 버그 보상 프로그램을 통한 보고에서 요구하는 것은, 인증이나 데이터 유출 등의 보안적인 문제이며, 모델의 문제는 대상에서 제외되고 있습니다. OpenAI는 "모델의 안전 문제는 직접 수정할 수 있는 별도의 버그가 아니기 때문에, 버그 보상 프로그램에 부합되지 않습니다. 종종 이러한 문제를 해결하기 위해서는 실질적인 조사와 광범위한 접근이 필요합니다. 이러한 문제를 적절히 해결할 수 있도록 버그 보상 프로그램이 아닌 적절한 양식을 사용하여 신고하십시오."라고 말하며, 프롬프트를 사용하여 보호 기능을 피하고 악용하는 경우에 대해, 모델 피드백 보고 페이지를 통해 보고하도록 요청하고 있습니다.

보고된 취약성의 심각도는 Bugcrowd의 취약성 분류 및 OpenAI의 판단에 따라 평가되며, 취약성당 200 ~ 6500달러의 보상금이 지급됩니다. 또한, 「예외적인 발견」에 대해서는 최대 2만 달러의 보상금이 지불된다고 합니다.



OpenAI는 버그 보상금 프로그램을 시작한 이유로 특정한 사례를 언급하지 않았지만, 2023년 3월 ChatGPT에서 발생한 '타인의 채팅 내역이 보이는 버그'와 관련될 가능성이 크다고 IT 기반 미디어인 BleepingComputer는 지적했습니다. 이 버그는 플랫폼에서 이용되고 있는 오픈 소스 라이브러리·redis-py가 원인이며, 채팅 이력 이외에도 유료 플랜 「ChatGPT Plus」 가입자의 개인정보가 일부 유출되었다는 것입니다.

ChatGPT에서 다른 사람의 채팅 기록이 보이는 버그가 발생

ChatGPT에서 다른 사람의 채팅 기록이 보이는 버그가 발생

현지 시간인 2023년 3월 20일(월), OpenAI의 채팅 AI인 ChatGPT에서 "다른 사용자가 입력한 채팅의 이력"이 표시되는 버그가 보고되었습니다. 이 버그를 수정하기 위해 ChatGPT는 일시적 종료를 강요했습

doooob.tistory.com


로이터는 4월에 이탈리아의 데이터 보호기관에 의해 「이탈리아인의 데이터 처리를 정지하라」라는 명령에 따라, ChatGPT에 대해 이탈리아로부터의 액세스가 차단된 사례를 언급하며, "이 움직임은 ChatGPT가 프라이버시 규제 위반 혐의로 이탈리아에서 금지된 며칠 후에 발생하였습니다. 다른 유럽 국가의 규제 당국은 생성된 AI 서비스를 보다 자세히 연구하시길 촉구합니다."라고 전했습니다.

OpenAI가 이탈리아에서 ChatGPT에 대한 액세스를 차단
https://techcrunch.com/2023/03/31/chatgpt-blocked-italy/

Italy orders ChatGPT blocked citing data protection concerns

The Garante has ordered a block on ChatGPT over concerns OpenAI has unlawfully processed people's data, including the information of minors.

techcrunch.com


반응형