Generatived（Beta）｜生成AIの最新ニュースとトレンドを提供

OpenAIは、責任ある脆弱性開示ポリシーを通じて、世界的なソフトウェアセキュリティの強化に取り組むことを発表しました。このポリシーは、オープンソースソフトウェアと商用ソフトウェアの両方で発見されたセキュリティ問題をどのように報告するかを規定しています。これらの発見は、AIを活用したセキュリティ分析、セキュリティ調査、サードパーティ製ソフトウェアの社内利用など、さまざまな方法から得られる可能性があります。

OpenAIは、エコシステム全体のセキュリティ向上と、ベンダーとの協力的かつ慎重な関係維持の重要性を強調しています。OpenAIのアプローチでは、初期の情報開示は非公開とし、ベンダーの同意を得た場合、または利害関係者や公共の利益を保護するために必要な場合にのみ、公開発表を行います。また、このポリシーでは、脆弱性がOpenAIに起因するか、場合によっては特定の個人またはシステムに帰属するかを明確にしています。

OpenAIの開示プロセスには、徹底した検証と社内レビューが含まれており、報告の正確性と実用性を確保しています。OpenAIは、公開トラッカーやバグ報奨金プログラムを避け、ベンダーのセキュリティメール、CERT、またはGitHubのプライベートレポートを利用して脆弱性を開示することを推奨しています。機密性を維持するため、外部への開示連絡には、アクセス制限付きの専用メーリングリストを使用しています。

このポリシーでは、公開に関する厳格なタイムラインは設定されていません。公開は、ベンダーの許可やアクティブなエクスプロイトの証拠など、特定の条件に基づいて行われます。OpenAIは、セキュリティ研究やAI駆動型アプリケーションのセキュリティテストの進展に応じて、このポリシーを変更または逸脱する柔軟性を保持しています。