news

OpenAI เปิดตัวโปรแกรม Safety Bug Bounty รับมือความเสี่ยงด้าน AI Abuse

OpenAI เปิดตัวโปรแกรม Safety Bug Bounty สาธารณะ มุ่งค้นหาความเสี่ยงด้าน AI Abuse ครอบคลุม Prompt Injection, Agentic Risk และ Account Integrity เพื่อสร้าง AI Ecosystem ที่ปลอดภัย

Prompt Expert

Prompt Expert

1 min read
OpenAI เปิดตัวโปรแกรม Safety Bug Bounty รับมือความเสี่ยงด้าน AI Abuse

Key takeaway

  • OpenAI เปิดตัว Safety Bug Bounty โปรแกรมสาธารณะใหม่ที่ทำงานควบคู่กับ Security Bug Bounty เดิม โดยเน้นรับรายงานความเสี่ยงด้าน AI Abuse และ Safety Risk โดยเฉพาะ แม้ปัญหาเหล่านั้นจะไม่เข้าข่าย Security Vulnerability มาตรฐานก็ตาม
  • ขอบเขตที่รับรายงานครอบคลุมภัยคุกคามสำคัญอย่าง Third-Party Prompt Injection, Data Exfiltration, Agentic Product ที่ดำเนินการอันตราย, MCP Risk, รวมถึงช่องโหว่ด้าน Account และ Platform Integrity เช่น การ Bypass Anti-Automation Controls หรือการ Evade Account Restrictions
  • สิ่งที่อยู่นอกขอบเขตชัดเจนคือ Jailbreak ทุกประเภทและ General Content-Policy Bypass ที่ไม่ก่อให้เกิด Material Harm จริง แต่ OpenAI ยังจัด Private Campaign แยกต่างหากสำหรับ Harm Type เฉพาะ เช่น Biorisk Content ใน ChatGPT Agent และ GPT-5

OpenAI ประกาศเปิดตัวโปรแกรม Safety Bug Bounty สาธารณะอย่างเป็นทางการ โดยมุ่งเน้นการค้นหาและระบุความเสี่ยงด้าน AI Abuse และ Safety Risk ในผลิตภัณฑ์ต่างๆ ของบริษัท เพื่อให้มั่นใจว่าระบบปัญญาประดิษฐ์ยังคงทำงานได้อย่างปลอดภัย และป้องกันการนำไปใช้ในทางที่ผิดซึ่งอาจก่อให้เกิดความเสียหายอย่างเป็นรูปธรรม

โปรแกรมใหม่เสริมการทำงานของ Security Bug Bounty เดิม

โปรแกรมดังกล่าวถูกออกแบบมาเพื่อทำงานควบคู่กับ Security Bug Bounty ที่มีอยู่เดิม โดยเปิดรับรายงานปัญหาที่ก่อให้เกิดความเสี่ยงด้าน Abuse และ Safety อย่างมีนัยสำคัญ แม้ว่าปัญหาเหล่านั้นจะไม่เข้าข่าย Security Vulnerability ตามมาตรฐานทั่วไปก็ตาม

Submission ทั้งหมดจะได้รับการ Triage โดยทีม Safety and Security Bug Bounty ของ OpenAI และอาจถูก Reroute ระหว่างสองโปรแกรมขึ้นอยู่กับ Scope และ Ownership ของแต่ละกรณี

ขอบเขตที่รับรายงาน (In-Scope)

OpenAI กำหนดประเภทของปัญหาที่เข้าข่ายรายงานในโปรแกรมนี้ไว้อย่างชัดเจน ได้แก่

  • Third-Party Prompt Injection และ Data Exfiltration — กรณีที่ Attacker Text สามารถ Hijack Agent ของเหยื่อ ไม่ว่าจะเป็น Browser, ChatGPT Agent หรือผลิตภัณฑ์ Agentic อื่นๆ เพื่อหลอกให้ดำเนินการอันตรายหรือเปิดเผยข้อมูล Sensitive ของผู้ใช้ โดยพฤติกรรมดังกล่าวต้องสามารถ Reproduce ได้อย่างน้อย 50% ของเวลา
  • Agentic OpenAI Product ที่ดำเนินการ Disallowed Action บนเว็บไซต์ของ OpenAI ในระดับ Scale
  • Agentic OpenAI Product ที่ดำเนินการ Potentially Harmful Action นอกเหนือจากที่ระบุข้างต้น โดยรายงานที่ Valid ต้องชี้ให้เห็น Plausible และ Material Harm อย่างชัดเจน
  • การทดสอบ MCP Risk ซึ่งต้องดำเนินการให้สอดคล้องกับ Terms of Service ของ Third Parties ที่เกี่ยวข้อง
  • Model Generation ที่ Return ข้อมูล Proprietary เกี่ยวกับ Reasoning
  • Vulnerability ที่เปิดเผยข้อมูล Proprietary อื่นๆ ของ OpenAI
  • Vulnerability ด้าน Account Integrity และ Platform Integrity Signals เช่น การ Bypass Anti-Automation Controls, การ Manipulate Account Trust Signals หรือการ Evade Account Restrictions, Suspensions และ Bans

ขอบเขตที่ไม่รับรายงาน (Out-of-Scope)

OpenAI ระบุอย่างชัดเจนว่าปัญหาบางประเภทอยู่นอกเหนือขอบเขตของโปรแกรมนี้ ได้แก่

  • ปัญหาที่อนุญาตให้ผู้ใช้เข้าถึง Feature, Data หรือ Functionality เกินกว่า Authorized Permission ให้รายงานผ่าน Security Bug Bounty แทน
  • Jailbreak ทุกประเภทอยู่นอกขอบเขตของโปรแกรมนี้ อย่างไรก็ตาม OpenAI ยังคงจัด Private Bug Bounty Campaign เป็นระยะๆ สำหรับ Harm Type เฉพาะเจาะจง เช่น Biorisk Content Issues ใน ChatGPT Agent และ GPT-5
  • General Content-Policy Bypass ที่ไม่ส่งผลกระทบด้าน Safety หรือ Abuse อย่างเป็นรูปธรรม เช่น Jailbreak ที่ทำให้โมเดลใช้ภาษาหยาบคาย หรือ Return ข้อมูลที่สามารถค้นหาได้ทั่วไปผ่าน Search Engine

วิธีเข้าร่วมโปรแกรม

Researcher ที่สนใจสามารถสมัครเข้าร่วมได้โดยตรงผ่านโปรแกรม Safety Bug Bounty ของ OpenAI OpenAI เปิดกว้างสำหรับความร่วมมือกับ Researcher, Ethical Hacker และชุมชน Safety and Security ทั่วโลก เพื่อร่วมกันขับเคลื่อน AI Ecosystem ที่ปลอดภัยและมีความมั่นคงในระยะยาว

Why it matters

💡 OpenAI เพิ่งประกาศเปิดตัวโปรแกรม Safety Bug Bounty สาธารณะอย่างเป็นทางการ ซึ่งถือเป็นก้าวสำคัญในวงการ AI Security ที่นักพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัยทุกคนไม่ควรพลาด โดยเฉพาะอย่างยิ่งในยุคที่ระบบ Agentic AI กำลังแพร่หลายอย่างรวดเร็ว โปรแกรมนี้ครอบคลุมตั้งแต่ Prompt Injection ไปจนถึง MCP Risk และ Account Integrity ทำให้ทั้ง Ethical Hacker และ Security Researcher มีโอกาสมีส่วนร่วมในการสร้าง AI Ecosystem ที่ปลอดภัยในระดับโลกได้อย่างเป็นรูปธรรม

ข้อมูลอ้างอิงจาก https://openai.com/index/safety-bug-bounty

Read more

Sony ฝ่ายเกมเพิ่งซื้อ AI Startup ที่แปลงรูปภาพเป็น 3D Volumes

news

Sony ฝ่ายเกมเพิ่งซื้อ AI Startup ที่แปลงรูปภาพเป็น 3D Volumes

Sony Interactive Entertainment เข้าซื้อ Cinemersive Labs สตาร์ทอัพ AI สัญชาติอังกฤษ ผู้พัฒนาเทคโนโลยีแปลง 2D เป็น 3D Volume โดยทีมงานจะเข้าร่วม Visual Computing Group เพื่อพัฒนากราฟิกและ Machine Learning บน PlayStation ในอนาคต

By
IBM และ Arm จับมือพัฒนาฮาร์ดแวร์สถาปัตยกรรมคู่ รองรับ Enterprise AI โดยเฉพาะ

news

IBM และ Arm จับมือพัฒนาฮาร์ดแวร์สถาปัตยกรรมคู่ รองรับ Enterprise AI โดยเฉพาะ

IBM จับมือ Arm พัฒนาฮาร์ดแวร์สถาปัตยกรรมคู่ รองรับ AI และ Data-Intensive Workloads ระดับองค์กร พร้อมเปิดทางให้ CIOs ใช้ IBM Z Mainframe เป็นทางเลือกแทน VMware ได้อย่างราบรื่น

By
AI Chatbot 8 ใน 10 ตัว มีความเสี่ยงช่วยวางแผนโจมตีและก่ออาชญากรรมจากความเกลียดชัง

news

AI Chatbot 8 ใน 10 ตัว มีความเสี่ยงช่วยวางแผนโจมตีและก่ออาชญากรรมจากความเกลียดชัง

งานวิจัยเผย AI Chatbot 8 ใน 10 ตัว มีความเสี่ยงช่วยวางแผนก่อเหตุรุนแรง โดย Perplexity ช่วยเหลือสูงสุด 100% ขณะที่ Claude ปฏิเสธคำขออันตรายได้ดีที่สุด แต่ยังไม่มี Chatbot ใดปลอดภัยสมบูรณ์

By
องค์กรหันพึ่ง AI ด้านความปลอดภัย แต่ยังเชื่อมั่นการควบคุมโดยมนุษย์มากกว่า

news

องค์กรหันพึ่ง AI ด้านความปลอดภัย แต่ยังเชื่อมั่นการควบคุมโดยมนุษย์มากกว่า

รายงานจาก Crogl เผยองค์กรรับ Security Alert กว่า 4,330 รายการ/วัน แต่จัดการได้เพียง 37% แม้ 62% นำ AI มาใช้แล้ว แต่ 52% ยังเชื่อมั่นว่ามนุษย์คือ Last Line of Defense ที่แท้จริง

By