A OpenAI ampliou as recompensas para quem encontrar vulnerabilidades de segurança e bugs no funcionamento de produtos e plataformas da companhia. A empresa de inteligência artificial (IA) é a dona do ChatGPT e também de modelos de linguagem licenciados variados — como o Whisper, que converte áudios em texto, e o Sora, uma IA generativa de vídeos.
Na última quarta-feira (26), ela anunciou uma série de atualizações nos programas internos de cibersegurança, com destaque para o aumento no prêmio a quem encontrar brechas críticas nos serviços. O teto para uma recompensa agora é de US$ 100 mil (ou cerca de R$ 575 mil em conversão direta de moeda), em um aumento de cinco vezes em comparação com o valor antigo.
Essa quantia será destinada apenas a “pesquisas significativas e de alto impacto em segurança“, em especial que ajudem na proteção direta de usuários. Além disso, por um período limitado, a OpenAI vai conceder alguns bônus no pagamento para participantes que enviarem “relatórios de qualidade” para a companhia.
Mais novidades de cibersegurança da OpenAI
A companhia parece preocupada com o aumento ainda visível na popularidade do chatbot e na expansão dos próprios serviços. Na mesma medida em que ela alcança mais pessoas e lança novos produtos, as plataformas também se tornam mais visadas por cibercriminosos.
Prova disso está na confirmação da expansão de um programa de financiamento de institutos e laboratórios de cibersegurança pela OpenAI. Ao todo, ela já ajudou financeiramente 28 iniciativas na área em dois anos, mas pretende ampliar o alcance do projeto. A ideia é focar em áreas mais específicas e que impactam diretamente a marca, como privacidade de modelos de linguagem, detecção de ameaças persistentes e a proteção de IAs autônomas, como é o caso do recente Operator.
Recentemente, uma falha no ChatGPT foi explorada em ataques cibernéticos a instituições financeiras. Além disso, senhas de 20 milhões de usuários do chatbot supostamente foram colocadas à venda por um invasor de origem russa que teria obtido algum acesso aos servidores da companhia.
Como funciona a caça aos bugs do ChatGPT?
O chamado bug bounty, ou caça a bugs, é um serviço já tradicional na indústria da segurança digital. Empresas como Microsoft, Meta e Google também mantêm programas de recompensas que beneficiam profissionais, especialistas, pesquisadores independentes e entusiastas que enviam denúncias fundamentadas sobre vulnerabilidades em seus produtos.
Essas parcerias são bem vistas por essas empresas e também pelos pesquisadores envolvidos. As companhias conseguem sanar brechas que a equipe interna não foi capaz de detectar por vários motivos e que poderiam virar uma dor de cabeça no futuro, enquanto o profissional da área é recompensado pelo trabalho.
No caso da OpenAI, as etapas de oferta e controle desse serviço são realizadas pela plataforma Bugcrowd. Ao todo, a companhia já corrigiu 209 vulnerabilidades por contribuições no site, que realizou nos últimos três meses pagamentos médios de quase US$ 500 (ou quase R$ 2,9 mil) por denúncia aceita.
Todas as informações sobre o programa de Bug Bounty da OpenAI podem ser lidos neste link (em inglês), onde também é possível fazer o cadastro para começar a contribuir. Já a bolsa de financiamento para institutos de cibersegurança pode ser solicitada na própria página da empresa a partir do preenchimento de um formulário sobre o projeto proposto.
O TecMundo conversou com o hacker que diz ter invadido os servidores da Oracle e roubado dados de mais de 6 milhões de pessoas. Clique aqui para conferir como foi o papo e saber mais sobre o caso.
