Firma zdecydowała się pięciokrotnie zwiększyć maksymalną wypłatę w programie bug bounty. Do tej pory wynosiła ona 20 tysięcy dolarów. Teraz za „wyjątkowe i zróżnicowane” luki badacze mogą otrzymać nawet 100 tysięcy dolarów. To zdecydowany ruch, który ma nie tylko wzmocnić zewnętrzną kontrolę nad bezpieczeństwem usług OpenAI, ale też zachęcić najlepszych specjalistów na świecie do współpracy z firmą. Za tym gestem kryje się wyraźna deklaracja – OpenAI pokazuje, że traktuje kwestie bezpieczeństwa z najwyższą powagą, jednocześnie otwierając się na konstruktywną krytykę i ekspercką analizę.
Odpowiedź na presję z rynku
Decyzja o podniesieniu nagród nie zapadła w próżni. Firma działa obecnie w wyjątkowo wymagającym środowisku – tygodniowo z jej rozwiązań korzysta aż 400 milionów użytkowników, w tym również instytucje rządowe oraz największe korporacje. W takim kontekście każdy błąd, każda luka może mieć globalne konsekwencje. Dlatego też OpenAI nie tylko zwiększa stawki, ale również rozszerza zakres czasowych promocji dla określonych typów zgłoszeń. Do końca kwietnia przewidziano premię dla badaczy, którzy zgłoszą luki typu IDOR (Insecure Direct Object Reference). W tym konkretnym przypadku maksymalna nagroda wynosi 13 tysięcy dolarów. Choć może się to wydawać kwotą niższą niż nagroda główna, należy pamiętać, że dotyczy jednego, ściśle określonego rodzaju zagrożenia – a to z kolei pozwala OpenAI szybciej reagować na konkretne problemy infrastrukturalne.
Po lekcji z przeszłości
Program bug bounty OpenAI został uruchomiony w kwietniu 2023 roku, niedługo po ujawnieniu incydentu związanego z wyciekiem danych z usługi ChatGPT. Błąd techniczny w bibliotece klienta Redis – oprogramowania open source – spowodował wtedy ujawnienie danych płatniczych oraz czatów użytkowników. Około 1,2% subskrybentów wersji Plus mogło zobaczyć informacje innych użytkowników, w tym imiona, adresy e-mail, dane do faktur i fragmenty numerów kart. Choć OpenAI szybko zareagowało, incydent stał się momentem przełomowym. Firma musiała uznać, że mimo wdrożonych mechanizmów ochrony, zewnętrzne spojrzenie może być nieocenione. Dlatego z czasem program nagród zyskał na znaczeniu. Pieniądze, które teraz OpenAI oferuje badaczom, są nie tylko wynagrodzeniem, ale i formą uznania – za czujność, zaangażowanie i wkład w poprawę bezpieczeństwa całego systemu. Warto podkreślić, że program nie obejmuje testowania samych modeli językowych ani prób ich jailbreakowania. OpenAI jasno określa, że nie chodzi o próby ominięcia zabezpieczeń przez użytkowników, lecz o rzeczywiste luki w systemach, które mogą być wykorzystane do szkodliwych działań. Priorytetem pozostaje ochrona danych użytkowników i stabilność usług.
Bezpieczeństwo jako wspólna odpowiedzialność
Nowa wysokość nagród to kolejny dowód na to, że OpenAI chce budować społeczność wokół odpowiedzialnego rozwoju sztucznej inteligencji. Firma zdaje sobie sprawę, że przy skali jej działań każda luka to potencjalne ryzyko dla milionów ludzi. Zamiast więc zamykać się w ramach wewnętrznych testów, zaprasza społeczność badaczy bezpieczeństwa do działania. To strategia, która może stać się nowym standardem w branży. Nagrody rzędu 100 tysięcy dolarów stawiają OpenAI w czołówce firm, które traktują bug bounty nie jako obowiązek, lecz jako kluczowy element strategii ochrony danych.
