В OpenAI мы стремимся создать безопасную цифровую экосистему. Именно поэтому мы представляем нашу Политику координированного раскрытия информации, которая определяет, как мы ответственно сообщаем о проблемах безопасности, которые обнаруживаем в программном обеспечении третьих сторон. Мы делаем это сейчас, поскольку считаем, что координированное раскрытие уязвимостей станет необходимой практикой по мере того, как системы искусственного интеллекта будут становиться все более способными находить и устранять уязвимости в безопасности.
Координированное раскрытие уязвимостей: новый подход OpenAI
Системы, разработанные OpenAI, уже обнаружили уязвимости нулевого дня в стороннем и открытом программном обеспечении, и мы предпринимаем этот проактивный шаг в ожидании будущих открытий. Независимо от того, выявлены ли уязвимости в ходе текущих исследований, целевых аудитов используемого нами открытого кода или автоматического анализа с помощью AI инструментов, наша цель — сообщать о проблемах таким образом, который является совместным, уважительным и полезным для более широкой экосистемы.
Основные компоненты политики раскрытия информации
Наша политика описывает, как мы раскрываем проблемы, обнаруженные в открытом и коммерческом программном обеспечении через автоматический и ручной анализ кода, а также открытия, возникающие в результате внутреннего использования программного обеспечения и систем третьих сторон.
Процесс валидации и приоритизации
Мы разработали строгий процесс проверки обнаруженных уязвимостей, чтобы гарантировать, что мы сообщаем только о проверенных проблемах безопасности. Приоритизация основывается на потенциальном воздействии, распространенности программного обеспечения и серьезности уязвимости.
Механика контакта и раскрытия информации
После выявления уязвимости мы следуем четкому протоколу для связи с разработчиками или компаниями. По умолчанию мы сначала обращаемся конфиденциально, если только особые обстоятельства не требуют иного подхода. Это обеспечивает разработчикам время для устранения проблемы до публичного раскрытия.
Принципы публичного раскрытия информации
Наша политика строится на нескольких ключевых принципах:
- Ориентация на результат – мы стремимся к максимальному положительному влиянию на безопасность
- Сотрудничество – мы работаем вместе с разработчиками для решения проблем
- Конфиденциальность по умолчанию – предпочитаем непубличное раскрытие, когда это возможно
- Высокая масштабируемость и низкое трение – создаем процессы, которые работают в масштабе
- Предоставление атрибуции – признаем вклад всех сторон, когда это уместно
Разработчико-ориентированный подход к раскрытию уязвимостей
Мы сознательно занимаем дружественную к разработчикам позицию по срокам раскрытия и решили оставить сроки по умолчанию открытыми. Этот подход отражает развивающийся характер обнаружения уязвимостей, особенно когда AI агенты становятся более эффективными в анализе кода, его сильных и слабых сторон, и генерации надежных патчей для повышения безопасности.
Мы ожидаем, что наши модели будут обнаруживать большее количество ошибок возрастающей сложности, что может потребовать более глубокого сотрудничества и больше времени для устойчивого решения. Мы продолжим работать с разработчиками программного обеспечения для создания норм раскрытия, которые балансируют срочность с долгосрочной устойчивостью.
Постоянное совершенствование политики безопасности
Мы будем продолжать улучшать эту политику по мере накопления опыта. Безопасность — это путь, определяемый постоянным совершенствованием. Мы благодарны разработчикам, исследователям и членам сообщества, которые идут по этому пути вместе с нами.
Надеемся, что прозрачная коммуникация вокруг нашего подхода поддержит более здоровую и безопасную экосистему для всех. В мире, где искусственный интеллект развивается стремительными темпами, крайне важно, чтобы компании, разрабатывающие эти технологии, вели себя ответственно и прозрачно, особенно когда речь идёт о безопасности.
Если вы хотите глубже понять, как работают современные AI системы и научиться создавать собственных умных ассистентов, рекомендуем посмотреть наш курс по AI агентам, который поможет вам освоить эти технологии на практическом уровне.