OpenAI Safety Bug Bounty 프로그램 소개

Source: OpenAI Blog

Introduction

오늘, OpenAI는 우리 제품 전반에 걸친 AI 남용 및 안전 위험을 식별하는 데 초점을 맞춘 공개 Safety Bug Bounty 프로그램을 시작합니다. AI 기술이 급속히 발전함에 따라, 악용될 수 있는 잠재적인 방법도 함께 늘어나고 있습니다. 우리의 목표는 시스템이 악용이나 남용으로 인해 실질적인 피해를 초래하지 않도록 안전하고 보안된 상태를 유지하는 것입니다.

이 프로그램은 보안 취약점 기준을 충족하지 않더라도 의미 있는 남용 및 안전 위험을 초래하는 이슈를 받아들임으로써 OpenAI의 Security Bug Bounty를 보완합니다. 제출된 내용은 OpenAI의 Safety 및 Security Bug Bounty 팀이 검토하며, 범위와 소유권에 따라 두 프로그램 사이에서 재배정될 수 있습니다.

Scope

Agentic Risks (including MCP)

• 제3자 프롬프트 인젝션 및 데이터 유출 – 공격자 텍스트가 피해자의 에이전트(예: Browser, ChatGPT Agent 등)를 신뢰성 있게 탈취하여 해로운 행동을 수행하거나 민감한 정보를 유출합니다. 해당 행동은 최소 50 % 이상의 재현 가능성을 보여야 합니다.
• 대규모 금지된 행동 – 에이전시 OpenAI 제품이 OpenAI 웹사이트에서 금지된 행동을 대규모로 수행합니다.
• 기타 잠재적 해로운 행동 – 위에 열거되지 않은 다른 해로운 행동으로, 보고서에 실질적이고 타당한 피해 가능성이 명시된 경우.
• MCP 테스트 준수 – MCP 위험에 대한 모든 테스트는 제3자 서비스 약관을 준수해야 합니다.

OpenAI Proprietary Information

• 추론과 관련된 독점 정보를 반환하는 모델 생성 결과.
• 기타 OpenAI 독점 정보를 노출하는 취약점.

Account and Platform Integrity

• 계정 무결성 및 플랫폼 무결성 신호에 영향을 미치는 취약점, 예를 들어 자동화 방지 제어 우회, 계정 신뢰 신호 조작, 계정 제한/정지/차단 회피 등과 같은 문제.
• 사용자가 허가된 권한을 넘어 기능, 데이터 또는 서비스를 이용할 수 있게 하는 이슈는 Security Bug Bounty로 보고해야 합니다.

Out of Scope

• 안전성이나 남용에 대한 실질적인 영향을 입증할 수 없는 일반적인 콘텐츠 정책 우회.
• 모델이 무례한 언어를 사용하거나 검색 엔진을 통해 쉽게 찾을 수 있는 정보를 반환하는 것에 그치는 “Jailbreak” 행위.

Jailbreak는 이 프로그램의 범위에 포함되지 않지만, OpenAI는 ChatGPT Agent 및 GPT‑5와 같이 특정 위험 유형에 초점을 맞춘 비공개 버그 바운티 캠페인을 주기적으로 진행합니다. 연구자들은 해당 프로그램이 진행될 때 신청할 수 있습니다.

Participation

참여를 원하는 연구자는 Safety Bug Bounty 프로그램을 통해 신청할 수 있습니다. OpenAI는 연구자, 윤리적 해커, 그리고 안전·보안 커뮤니티와 함께 안전한 AI 생태계를 구축해 나가길 기대합니다.