OpenAI最近搞了个特别的计划,叫“Safety Bug Bounty”,专门针对AI里的安全问题给全球的研究者发钱,让他们帮忙找找系统里有哪些能被坏人利用的漏洞和威胁。跟以前的那些专门找系统漏洞的赏金不一样,这个计划盯着的是那些传统网络安全不管的事儿,比如坏人能不能通过耍花招让AI干坏事,或者数据被泄露,还有那些代理系统被乱用的情况。随着AI技术越来越复杂,光靠原来的Security Bug Bounty已经不够用了,现在必须再加一层保险。 以前的系统入侵、权限绕过这些问题基本已经有专人盯着了,现在的新计划就是专门管那些AI独有的麻烦事儿。比如说,坏人可能给AI设计一些特定的提示文字,诱导它去执行危险的操作;或者从AI的输出里偷偷捞出些不该公开的内部信息。这次规则定得很细,主要分了三大类风险:第一类是代理型风险,也就是别人通过提示注入攻击把AI控制了去做坏事;第二类是泄露了不该泄露的专有信息;第三类是平台的完整性被破坏,比如绕过检测机制或者改账号信用分。不过呢,单纯想让AI随便说脏话或者曝光公开信息这种“越狱”行为是不给钱的。 研究人员要想拿到钱,得通过官方平台把发现的问题报告上去。审核的时候会有一个跨部门的团队一起把关,看是属于普通安全漏洞还是AI独有的问题。对于普通漏洞还是按老规矩处理,而那些新出现的AI风险会专门评估。这样既能快速解决问题,也能保证重要的问题先办。OpenAI说大家提交的东西都在保密协议里保护着,大家尽管放心来干。 业内专家觉得这是一个大转变,说明大家开始主动搞安全了。以前都是被动挨打,现在通过引进外面的研究者视角,企业能更早发现自家系统的盲区。特别是在AI模型能解释清楚吗、怎么应对对抗样本这些新领域上,外人往往能看得更透彻。OpenAI的目的不光是自己安全点,更是想带着整个行业一起建立一套透明的评估标准。毕竟以后AI用得越来越多、越来越广,大家必须先把信任基础打好才行。