$100000 на кону: OpenAI наняла хакеров атаковать собственные системы

OpenAI усиливает защиту своих продуктов и инфраструктуры, расширяя программу Bug Bounty и другие инициативы в сфере кибербезопасности. На фоне роста числа продвинутых ИИ-агентов и усилий по их интеграции в повседневные цифровые процессы компания делает ставку на сотрудничество с исследователями и партнёрами, чтобы выявлять и устранять уязвимости на ранних этапах.

Ключевым изменением стало увеличение максимальной выплаты по программе Bug Bounty с $20 000 до $100 000. Такое решение направлено на привлечение специалистов с высокими компетенциями, способных обнаруживать редкие и критически важные ошибки, которые угрожают безопасности пользователей и нарушают доверие к системам. OpenAI также вводит ограниченную по времени акцию: с 26 марта по 30 апреля исследователи смогут получить бонусы за отчёты, касающиеся приоритетных категорий, в том числе уязвимостей типа IDOR. Размер вознаграждения за такие находки временно увеличен вдвое.

Программа Bug Bounty была запущена в апреле 2024 года и с тех пор стала важным каналом взаимодействия с сообществом ИБ-специалистов. Новая акция распространяется на широкий круг уязвимостей и демонстрирует готовность компании платить за качественные и полезные находки.

Дополнительно OpenAI анонсировала развитие своей программы грантов на исследования в области кибербезопасности. Теперь программа охватывает новые направления, включая защиту ИИ-агентов, конфиденциальность моделей, автоматическое исправление уязвимостей с помощью ИИ и интеграцию систем безопасности. За 2 года существования программы было рассмотрено свыше 1000 заявок и профинансировано 28 проектов. Среди исследуемых тем — атаки prompt injection, безопасная генерация кода и автономные средства защиты.

В рамках обновлений компания вводит «микрогранты» — кредиты на использование API, что позволит командам быстро создавать прототипы решений. Программа теперь принимает более широкий круг заявок, особенно в приоритетных зонах вроде защиты от утечек данных и улучшения обнаружения сложных угроз.

OpenAI также заявила о сотрудничестве с академическим и коммерческим сообществом для выявления уязвимостей в открытом программном коде. Компания намерена делиться найденными проблемами с сообществом, чтобы содействовать улучшению ИИ-инструментов, способных находить и устранять ошибки в коде автоматически.

Для усиления защиты инфраструктуры и моделей в реальном времени OpenAI расширяет использование собственных ИИ-моделей для обнаружения и реагирования на угрозы. Одной из ключевых инициатив стало партнёрство с SpecterOps, специализирующейся на проведении реалистичных атак. В рамках сотрудничества будет проводиться постоянное тестирование защиты, включая облачные и производственные среды.

Такой подход позволит интегрировать безопасность на всех уровнях — от внутренней инфраструктуры до механизмов работы ИИ. Компания подчёркивает, что с появлением новых агентов, таких как Operator и Deep Research, возникает всё больше задач по обеспечению их устойчивости. В ответ на это разрабатываются стратегии, включающие защиту от атак через запросы, расширенное управление доступом, криптографические меры и многоуровневую защиту.