Encontrar vulnerabilidades en ChatGPT puede convertirse en un trabajo muy lucrativo. OpenAI ha anunciado el lanzamiento de un programa de cazarrecompensas con grandes incentivos económicos para quienes encuentren e informen brechas de seguridad en su chatbot de inteligencia artificial.
La firma de Sam Altman dio a conocer el OpenAI Bug Bounty Program a través de una publicación en su blog oficial. La startup está invitando a expertos y entusiastas a reportar "vulnerabilidades, bugs o fallos de seguridad" en sus sistemas; y a cambio, promete premios nada despreciables.
Por supuesto que lo que más llama la atención en este caso es que ChatGPT es una de las plataformas abarcadas por este programa. Sin embargo, no es la única. OpenAI menciona que las vulnerabilidades a reportar también pueden ser detectadas en sus API o claves de API, como en su sitio web y los servicios operados por su organización.
Pero la historia no se detiene allí. También será posible reportar cuando información corporativa y confidencial de OpenAI se filtre a través de plataformas de terceros como Notion, Jira, Google Workspace, etc.
Tanto las vulnerabilidades de ChatGPT como del resto de los sistemas de OpenAI pagarán recompensas según su nivel de gravedad. Las más leves serán merecedoras de premios que partirán desde los 200 dólares, pudiendo alcanzar los 6.500 dólares en el caso de las más severas. En el medio habrá pagos de 500, 1.000 y hasta 2.000 dólares.
No obstante, OpenAI ha dispuesto una recompensa máxima de hasta 20.000 dólares para "descubrimientos excepcionales". La compañía no elabora demasiado con respecto a qué tipo de fallos de seguridad entran dentro de esa consideración, pero es lógico pensar que se trate de inconvenientes gravísimos que podrían causar mucho daño —y pérdidas millonarias— si son explotados.
Encontrar problemas de seguridad en ChatGPT puede hacerte ganar mucho dinero
En el caso específico de ChatGPT, se recompensará este tipo de vulnerabilidades: problemas de autorización o autenticación, inconvenientes de pagos, exposición de datos, o métodos para evadir la protección de Cloudflare, entre otros. Vale mencionar que también será posible analizar e informar fallos en plugins, tanto de creación propia como los desarrollados por OpenAI.
El lanzamiento de este programa de cazarrecompensas no sorprende. No solo porque es una práctica común entre las compañías desarrolladoras de software, sino porque ya se detectaron problemas de seguridad en ChatGPT. No olvidemos que el chatbot recientemente fue noticia por mostrar el historial de chats y los datos personales de los suscriptores a ChatGPT Plus.
Otro punto importante a tener en cuenta es que OpenAI ha establecido reglas claras con respecto a qué cuenta como vulnerabilidad y qué no. En cuanto a ChatGPT, no se pagarán recompensas por casos de jailbreak o prompt hacking, ni tampoco por provocar que el chatbot tenga "alucinaciones". Así lo detalla la compañía:
Ejemplos de problemas de seguridad que están fuera del alcance:
- Jailbreaks/Bypasses de seguridad (por ejemplo, DAN y prompts relacionados);
- Hacer que el modelo te diga cosas malas;
- Conseguir que el modelo te diga cómo hacer cosas malas;
- Conseguir que el modelo escriba código malicioso por ti.
Alucinaciones del modelo:
- Hacer que el modelo pretenda hacer cosas malas;
- Conseguir que el modelo pretenda darte respuestas a secretos;
- Hacer que el modelo finja ser una computadora y ejecute código.
"Estamos entusiasmados de aprovechar nuestros compromisos de divulgación coordinada al ofrecer incentivos para calificar la información de vulnerabilidad. Tu experiencia y vigilancia tendrán un impacto directo en mantener nuestros sistemas y usuarios seguros. El programa [...] es una forma de reconocer y recompensar los valiosos conocimientos de los investigadores de seguridad que contribuyen a mantener nuestra tecnología y nuestra empresa seguras", destacaron los creadores de ChatGPT.
Si quieres participar del programa de cazarrecompensas de OpenAI, puedes encontrar todos los detalles en este enlace.