傳統(tǒng)安全漏洞賞金最高能拿10萬美元，但AI系統(tǒng)被"忽悠"去干壞事該值多少錢？OpenAI剛給這個(gè)問題標(biāo)了價(jià)。

一個(gè)程序，兩套班子

OpenAI在Bugcrowd平臺(tái)上線了一個(gè)新賞金項(xiàng)目，專門收"AI濫用和安全風(fēng)險(xiǎn)"的漏洞報(bào)告。這和他們2019年就有的安全漏洞賞金計(jì)劃是平行關(guān)系，但審查團(tuán)隊(duì)完全不同——安全團(tuán)隊(duì)管傳統(tǒng)漏洞，安全+賞金聯(lián)合團(tuán)隊(duì)管AI特有的麻煩。

你的報(bào)告投進(jìn)來，先由兩邊一起初審。如果發(fā)現(xiàn)是傳統(tǒng)的未授權(quán)訪問、數(shù)據(jù)泄露，直接轉(zhuǎn)去安全賞金計(jì)劃；如果是AI被誘導(dǎo)干壞事，留在這個(gè)新池子里。

這種分流機(jī)制說明一件事：OpenAI內(nèi)部已經(jīng)意識(shí)到，AI系統(tǒng)的風(fēng)險(xiǎn)不能再用防火墻思維來框定。

明碼標(biāo)價(jià)的3類"AI專屬"風(fēng)險(xiǎn)

新計(jì)劃把賞金范圍鎖死在三個(gè)類別，每個(gè)都有明確的驗(yàn)收標(biāo)準(zhǔn)。

第一類：Agentic Risks（智能體風(fēng)險(xiǎn)），含MCP協(xié)議相關(guān)

這是賞金最高的領(lǐng)域。覆蓋場(chǎng)景包括第三方提示注入、數(shù)據(jù)外泄——攻擊者通過構(gòu)造特定文本，劫持用戶的AI智能體（如Browser、ChatGPT Agent等）執(zhí)行有害操作或泄露敏感數(shù)據(jù)。

門檻很具體：行為必須能在至少50%的嘗試中復(fù)現(xiàn)。大規(guī)模執(zhí)行禁用操作或潛在有害行為的報(bào)告，也在收錄范圍內(nèi)。

MCP（Model Context Protocol，模型上下文協(xié)議）被單獨(dú)點(diǎn)名，因?yàn)檫@是OpenAI推動(dòng)的AI工具連接標(biāo)準(zhǔn)。如果攻擊者能通過MCP通道操控智能體，整個(gè)生態(tài)的信任基礎(chǔ)都會(huì)動(dòng)搖。

第二類：OpenAI專有信息泄露

模型生成內(nèi)容時(shí)意外暴露推理相關(guān)的內(nèi)部信息，或其他機(jī)密數(shù)據(jù)泄露，都在懸賞范圍內(nèi)。這針對(duì)的是"模型說漏嘴"的情況——比如訓(xùn)練數(shù)據(jù)中的敏感細(xì)節(jié)被誘導(dǎo)輸出。

第三類：賬戶與平臺(tái)完整性

繞過反自動(dòng)化控制、操縱賬戶信任信號(hào)、規(guī)避賬戶限制/封禁等。簡單說，就是抓那些試圖批量養(yǎng)號(hào)、偽裝正常用戶的灰產(chǎn)操作。

明確拒收：什么不算數(shù)

OpenAI列了黑名單，節(jié)省雙方時(shí)間。

通用越獄（jailbreak）只產(chǎn)出粗魯語言或公開信息的，不收。沒有可證明的安全或?yàn)E用影響的內(nèi)容策略繞過，也不收。

但有個(gè)后門：OpenAI會(huì)不定期開"私密賞金活動(dòng)"，針對(duì)特定危害類型——比如ChatGPT Agent和GPT-5的生物風(fēng)險(xiǎn)內(nèi)容問題。想?yún)⑴c這類定向狩獵，得等邀請(qǐng)。

需要未授權(quán)訪問功能、數(shù)據(jù)或超出許可權(quán)限的能力？去安全賞金計(jì)劃，這邊不管。

為什么現(xiàn)在做這件事

2023年GPT-4發(fā)布后，提示注入攻擊的案例開始規(guī)?；霈F(xiàn)。研究人員發(fā)現(xiàn)，讓AI助手忽略之前的指令、執(zhí)行攻擊者嵌入在郵件/網(wǎng)頁里的惡意指令，成功率遠(yuǎn)高于傳統(tǒng)釣魚。

傳統(tǒng)安全框架的設(shè)計(jì)假設(shè)是：系統(tǒng)有明確的權(quán)限邊界，攻擊者需要突破這層邊界。但AI系統(tǒng)的邊界是模糊的——它"理解"用戶意圖，而意圖可以被操縱。

OpenAI這次把賞金范圍擴(kuò)展到"非傳統(tǒng)安全漏洞但造成實(shí)際危害"的場(chǎng)景，等于承認(rèn)：AI引入了一個(gè)全新的攻擊面，現(xiàn)有的安全工具箱不夠用。

通過把安全研究和傳統(tǒng)漏洞披露并行激勵(lì)，他們?cè)噲D建立一套AI特有的威脅建?？蚣?。這不是慈善，是基礎(chǔ)設(shè)施投資——如果AI Agent要成為下一代計(jì)算平臺(tái)，必須先解決"被一句話騙走"的信任危機(jī)。

研究人員現(xiàn)在可以直接通過OpenAI在Bugcrowd的Safety Bug Bounty頁面申請(qǐng)參與。賞金金額未公開披露，但參考安全計(jì)劃的歷史數(shù)據(jù)，高危漏洞通常在5000-10000美元區(qū)間，特別嚴(yán)重的案例有突破6位數(shù)的記錄。

一個(gè)值得玩味的細(xì)節(jié)：OpenAI把復(fù)現(xiàn)門檻定在50%。這意味著他們更想要系統(tǒng)性、可工程化的攻擊路徑，而非偶發(fā)的奇技淫巧——這恰恰是AI安全研究從學(xué)術(shù)玩具走向工業(yè)級(jí)防御的分水嶺。