国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

【新智元導讀】OpenAI撒錢了(le)!找到BUG者，最高獎賞(shang)2萬美金，當然了(le)越(yue)獄不算。這才(cai)發布(bu)不久，已經有人(ren)想(xiang)著靠它發家(jia)致富了(le)。

ChatGPT正紅的發(fa)紫(zi)，但存在不少(shao)的漏洞問題也(ye)引(yin)發(fa)許多人(ren)的擔憂。

就比如上個月，ChatGPT出現了能夠看到別人(ren)聊(liao)天(tian)記錄的(de)重大BUG。當(dang)時，OpenAI不得不將(jiang)ChatGPT下線調查問題(ti)，把鍋扔給(gei)了開源庫的(de)錯誤(wu)。

今天，OpenAI宣(xuan)布了一個(ge)bug賞(shang)金計劃，賞(shang)金從200美元(yuan)到20000美元(yuan)不等(deng)。

如果想要得到2萬美金(近14萬)，那必定(ding)是(shi)OpenAI認定(ding)的(de)「特殊發現」。

有(you)網友最先舉(ju)手，我發現(xian)了bug!ChatGPT限制3個小時只能(neng)25條信息。

一發布，已經有一位名叫(jiao)tess的開發者極(ji)力找出3個bug，拿(na)到了(le)7000美金(jin)。

截至目前，已經有11人得到了懸賞(shang)。

做BUG獵人，拿2萬美金

這(zhe)一計(ji)劃的(de)推出并不(bu)令人(ren)意(yi)外。此前聯合創始人(ren)Greg Brockman在推特上透露(lu)，OpenAI正考慮(lv)啟動賞金計(ji)劃/紅隊網，來檢(jian)測(ce)薄弱(ruo)環節(jie)。

推(tui)出這一計劃(hua)的(de)部分原因(yin)是OpenAI認(ren)為(wei)「透明度(du)和(he)協(xie)作(zuo)」是發現技術漏洞(dong)的(de)關(guan)鍵。

OpenAI的安全主(zhu)管(guan)Matthew Knight在博(bo)客(ke)中稱，

這一舉措是我們致力于開發安全和先進人工智能的重要組成部分。在我(wo)們創造安全、可(ke)靠和值得信賴的技術和服務時，我(wo)們需要您的幫(bang)助。

這么(me)豐厚的(de)獎金，干脆做個全職的(de)bug獵人吧。有網友表(biao)示，這不是很快(kuai)就(jiu)要成為百萬富(fu)翁了(le)。

ChatGPT面世以來，一些(xie)用戶成(cheng)功越獄(yu)，讓其說(shuo)臟話、寫一些(xie)被禁止的政治話題，甚至(zhi)是創建(jian)惡(e)意軟件。

重點來了，OpenAI強調：越獄行為(wei)不算，另外也不接受那些欺騙(pian)AI違反其(qi)自身規則的文本提示。

另一(yi)位(wei)網(wang)友一(yi)語點醒夢(meng)中人，發家致富之路沒(mei)了。

還有人(ren)另辟蹊徑(jing)：讓ChatGPT-4去發現代碼錯誤，這(zhe)不錢就來了。

OpenAI指(zhi)出(chu)，也(ye)不(bu)接受那些欺騙AI違反(fan)其自身規則(ze)的文本提示。此外，這個賞金計劃也(ye)不(bu)接受有(you)關ChatGPT產生錯誤信息的報告(gao)。

除非(fei)它們對服(fu)務產(chan)生直接可驗證的(de)安全影響，否則是不會(hui)獎勵的(de)。

OpenAI稱，模型安全問題不適合納入漏洞懸(xuan)賞計劃，因為它們不是可以直接修(xiu)復的單個(ge)、離散的漏洞。

解決這(zhe)些問題通(tong)常(chang)涉(she)及大(da)量研究和更廣(guang)泛的(de)方法。

到(dao)底什么不算模型(xing)安全問題，OpenAI也給(gei)列了一個(ge)具體(ti)范圍：

不在范(fan)圍內的安全(quan)問題示(shi)例：

• 越(yue)獄/安全繞過(例如DAN和相關提示)

• 讓模型對你說壞話

• 讓模型告訴你(ni)如何做壞(huai)事

• 讓模(mo)型(xing)為你編寫惡意(yi)代碼

模型幻覺：

• 讓模型假裝做壞事

• 讓模(mo)型假裝給你提供秘密的答案

• 讓模型假裝(zhuang)成計算機并執行代碼

OpenAI表示，這一(yi)(yi)計劃在(zai)bug賞金平臺Bugcrowd中進行，需要(yao)遵循一(yi)(yi)些詳細規(gui)則。

其中最突(tu)出的點就是(shi)，OpenAI要求(qiu)bug獵人(ren)在自己安全團隊(dui)授權發布漏(lou)洞(dong)之前，一(yi)定要保密。

另外(wai)，OpenAI的(de)機密數(shu)據是不(bu)可(ke)以的(de)訪(fang)問、修改(gai)，甚至是使用。

上榜大佬

在Bugcrowd名人堂(tang)中，一個(ge)網絡安全公司(si)Shockwave Cloud的創始人Gal Nagli貢獻最(zui)多。

在OpenAI今天發起這(zhe)個倡議(yi)后(hou)，他發布(bu)推特舉手贊成。

就在(zai)3月(yue)25日(ri)，OpenAI團隊修復了他(ta)提出的一個bug。

這(zhe)個(ge)漏洞叫「Web Cache Deception」，可以(yi)讓攻擊者有可能接管某人的賬戶，查看其聊(liao)天歷史紀錄，還能訪(fang)問賬單(dan)信息。

這(zhe)不(bu)就巧(qiao)了嗎，許多用戶(hu)報告自己(ji)能夠看到別人的(de)聊天記錄的(de)時(shi)間恰恰也在這(zhe)個時(shi)候。

當時Sam Altman不得不親自出面，在(zai)推特上解釋(shi)，bug問題源(yuan)于(yu)開(kai)源(yuan)代(dai)碼庫中存在(zai)的一個錯誤，最終(zhong)導致(zhi)ChatGPT聊(liao)天(tian)歷史泄(xie)露。

Gal Nagli詳細(xi)介紹了自(zi)己如(ru)何發現這一(yi)漏洞(dong)的(de)過程，

在(zai)他(ta)處(chu)理(li)ChatGPT認證流程的請求時，一(yi)(yi)直(zhi)在(zai)尋找可能泄(xie)露用戶信息的任何異(yi)常情況。一(yi)(yi)個GET請求，直(zhi)接引(yin)起了他(ta)的注(zhu)意：

//chat.openai[.]com/api/auth/session。

基(ji)本上，每(mei)當我們登錄(lu)到ChatGPT時(shi)，這個工具就(jiu)會獲取包括電子(zi)郵件、姓名、圖像和accessToken在(zai)內的(de)信息。

而攻擊者(zhe)想要泄露這些信息，便可以在服(fu)務器中(zhong)利用(yong)「Web Cache Deception」這一漏洞(dong)。

Nagli稱這種手法(fa)自(zi)己曾在各種黑客(ke)比賽(sai)中(zhong)見過很多次，甚至在許多人的博客(ke)中(zhong)也有提到。

在高級視圖中，這(zhe)(zhe)個漏(lou)洞非常簡單(dan)，如果(guo)設法強(qiang)制Load Balancer在特(te)定路(lu)徑上緩(huan)存請求，其他人便能夠(gou)從緩(huan)存的響應中讀取用(yong)戶的敏感數據。在這(zhe)(zhe)種情況下，漏(lou)洞不(bu)會(hui)直接發(fa)生。

為了讓(rang)這個(ge)漏洞發揮作用，需要讓(rang)CF-Cache-Status響(xiang)應(ying)確認(ren)一個(ge)緩(huan)存的HIT。這意味著它緩(huan)存了數據，并將為同一區(qu)域下一個(ge)請求(qiu)提(ti)供服務(wu)。如果收(shou)到動(dong)態(DYNAMIC)響(xiang)應(ying)，就(jiu)不會緩(huan)存數據了。

Nagli分享了(le)一個攻擊(ji)流程：

-攻擊(ji)者構造一個專用(yong)的(de).css路徑，指向/api/auth/session端點(dian)。-攻擊(ji)者分發鏈接(jie)(直接(jie)發送給受害(hai)者或公(gong)開(kai)發布(bu))。-受害(hai)者訪問合法鏈接(jie)。-響應被緩存。-攻擊(ji)者收集JWT憑證。他提(ti)出的(de)修(xiu)復(fu)方案(an)是(shi)，通過正則表達式(regex)手動指示Load Balancer不要捕獲該端點(dian)。當然了，這也是(shi)OpenAI選(xuan)擇的(de)修(xiu)復(fu)方法。在這漏(lou)洞被修(xiu)復(fu)后，Nagli還收到了OpenAI的(de)表揚郵件。

在名人堂上統計中，Nagli已經賺到2500美金。

就在剛剛，Nagli又(you)發現了3個不同嚴重(zhong)程度的(de)附加漏洞，并獲得了300美金的(de)獎勵。

看到這么(me)豐(feng)厚的賞金，想必許多(duo)人(ren)已經等(deng)不及了，快來一起(qi)找bug吧(ba)。