LEBIGDATA.FR I.A, Cloud & Cybersécurité
OpenAI lance un programme de Bug Bounty pour ChatGPT. Les utilisateurs qui découvrent des bugs ou des vulnérabilités seront récompensés en monnaie sonnante et trébuchante ! Découvrez tout ce que vous devez savoir pour vous lancer dans cette chasse.
Depuis son lancement fin 2022, le succès viral de ChatGPT ne s'estompe pas. Partout dans le monde, des milliers de personnes utilisent cette IA.
Pour cause, cet outil est si puissant qu'il pourrait remplacer de nombreux métiers. D'un autre côté, il offre aussi de nombreuses possibilités pour gagner de l'argent que nous avons déjà présenté à travers ce dossier complet.
À présent, une nouvelle opportunité s'offre à vous si vous souhaitez vous enrichir grâce à ChatGPT. Cette fois, il ne s'agit pas d'utiliser le chatbot, mais de découvrir ses faiblesses.
En effet, OpenAI vient d'annoncer le lancement d'un programme de Bug Bounty visant à récompenser les personnes qui découvriront des bugs et dans ChatGPT, les plugins, les APIs et autres services liés.
La firme de San Francisco explique : « nous vous invitons à signaler les vulnérabilités, bugs ou failles de sécurité que vous découvrez dans nos systèmes ».
Pour cause, « en partageant vos découvertes, vous jouerez un rôle crucial en vue de rendre notre technologie plus sûre pour tout le monde ». À l'heure actuelle, quatre vulnérabilités ont déjà été détectées par les chasseurs.
Au-delà d'une mission d'intérêt général, cette chasse aux bugs peut s'avérer très lucrative. Les récompenses proposées débutent à 200 dollars et peuvent atteindre la somme de 20 000 dollars !
Ce programme est géré par la plateforme de crowdsourcing de cybersécurité Bugcrowd, qui va prendre en charge les soumissions et les récompenses. Le montant de la compensation sera proportionnel à la sévérité du bug découvert.
Les jailbreaks de ChatGPT ne seront pas récompensés
Toutefois, une longue liste de règles précise que de nombreuses découvertes ne seront pas rémunérées. C'est le cas des jailbreaks, des manipulations permettant de « pousser le modèle à vous dire des choses méchantes », ou encore des hallucinations du chatbot.
De manière générale, tous les « problèmes liés au contenu des prompts et réponses du modèle sont hors du champ du programme et ne seront pas récompensés ».
Selon OpenAI, « ces soucis de sécurité du modèle n'entrent pas dans le programme de bug bounty, car il ne s'agit pas de bugs individuels pouvant être directement corrigés ».
La firme précise aussi que la résolution de ces problèmes requiert souvent une approche plus large et une recherche approfondie. Les utilisateurs sont plutôt invités à signaler ce type de failles via la page de feedback.
Pour rappel, le jailbreaking de ChatGPT consiste généralement à lui injecter un scénario élaboré sous forme de prompt dans le but de contourner ses filtres de sécurité.
Il peut s'agir par exemple de l'encourager à jouer le rôle d'un « jumeau maléfique » afin qu'il produise des réponses habituellement interdites, de l'ordre du discours haineux ou d'informations illégales. Pour en savoir plus, découvrez comment activer Dan dans notre dossier complet.
Même si de tels jailbreaks peuvent démontrer les vulnérabilités plus amples des systèmes IA, il s'agit d'un problème de moindre envergure pour OpenAI par rapport à des failles de sécurité plus traditionnelles.
Par exemple, en mars 2023, le hacker rez0 a pu révéler 80 « plugins secrets » de l'API ChatGPT qui n'avaient pas encore été présentés. Dès le lendemain, le bug a été patché.
En outre, OpenAI demande aux utilisateurs de ne pas tenter de cyberattaque pouvant « dégrader, perturber ou impacter négativement les services ou l'expérience utilisateur ». Ceci inclut les attaques DDoS ou les arnaques de phishing et d'ingénierie sociale.
Une volonté de rassurer de la part d'OpenAI ?
Les Bug Bounties sont très communs dans le domaine de la technologie. De nombreuses entreprises lancent de tels programmes, notamment les géants Google et Apple.
En 2019, Google a payé un total de 6,5 millions de dollars aux personnes ayant signalé des problèmes. De même, Apple propose 2 millions de dollars à quiconque découvre un moyen de contourner les protections spécifiques du Mode Verrouillage.
Toutefois, pour OpenAI, il peut aussi s'agir d'une façon de rassurer les foules. En effet, l'ouverture de ce programme survient peu après une grave fuite de données subie par ChatGPT.
Quelques semaines auparavant, une faille dans le code a exposé les historiques de conversations et les informations de paiement des utilisateurs abonnés à ChatGPT Plus : la version payante de l'outil.
De même, les inquiétudes s'amplifient concernant la protection des données d'utilisateurs. Il y a quelques jours, l'Italie a banni ChatGPT en raison de plusieurs manquements au RGPD de l'Union européenne…
Une lettre ouverte signée par Elon Musk et plusieurs milliers d'experts a aussi été publiée pour appeler à faire une pause d'au moins six mois dans le développement de l'IA pour éviter une catastrophe mondiale.
Tous ces événements entachant la réputation d'OpenAI semblent avoir poussé la firme à lancer son Bug Bounty, lui permettant aussi de prouver que la sécurité et la confidentialité lui tiennent à coeur…
- Partager l'article :
