「ChatGPTの欠陥」を発見すると何万円もらえるのか？ 実は“厳しい条件”も：OpenAI製品の脆弱性発見を促す「バグバウンティ」の正体【後編】

「ChatGPT」などの自社製品のセキュリティ強化を目指して、OpenAIは脆弱性報告者に報奨金を支払う制度「バグバウンティ」を開始した。脆弱性を報告した人は、どのくらいの報奨金がもらえるのか。制度の注意点とは。

[Alexander Culafi，TechTarget]

　人工知能（AI）技術ベンダーOpenAIが2023年4月に開始した、脆弱（ぜいじゃく）性報奨金制度「バグバウンティ」（Bug Bounty）。AIチャットbot「ChatGPT」をはじめ、同社製品の脆弱（ぜいじゃく）性を報告した人に対して報奨金を支払い、セキュリティの向上を図る制度だ。報告者は、どのくらいの金額の報奨金を受け取ることになるのか。

脆弱性報告者がもらえる報奨金の金額と“厳しい条件”

併せて読みたいお薦め記事

連載：OpenAI製品の脆弱性発見を促す「バグバウンティ」の正体

• 前編：「ChatGPTの欠陥」発見で報奨金ゲット　OpenAIが始めた制度とは？

OpenAIを巡る動きとは

• ChatGPTどころじゃない「MicrosoftがOpenAIに投資する“本当”の理由」
• 「ChatGPT」継続のためにイタリア規制当局がOpenAIに突き付けた“ある条件”

　OpenAIは、報告を受けた脆弱性の重大性やリスクの影響範囲に応じて、200ドル（約2万8800円）から6500ドル（約93万6000円）の報奨金を報告者に支払う。同社によると、それ以上の金額を支払う場合もあるものの、上限は2万ドル（約288万円）になっている。

　今回のバグバウンティを利用する場合、報告者は報告する脆弱性情報を一般公開することはできない。こうした脆弱性公開の制限を巡っては、ベンダーが情報を公開せずに“こっそりと”修正することが常態化することを危惧する声がある。そのためセキュリティ専門家やホワイトハッカー（倫理的ハッカー）の不満の種になりかねない。

　セキュリティベンダーLuta Securityの最高経営責任者（CEO）、ケイティ・モスーリス氏は、脆弱性公開の制限を理由に、バグバウンティを通じた脆弱性の報告が広がらない可能性を指摘。「脆弱性情報の提供に至らず、脆弱性が修正されない可能性がある」と危惧する。

　攻撃者はマルウェアの生成といった犯罪行為に、ChatGPTを悪用する可能性がある。こうした懸念については、OpenAIは今回のバグバウンティとは別の形での報告を受け付けているという。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。