El enfoque de OpenAI para informar vulnerabilidades en software de terceros, basado en la integridad, la cooperación y la escala.
Estamos publicando una Política de divulgación coordinada saliente que seguiremos cuando revelemos vulnerabilidades a terceros.
En OpenAI, nos comprometemos a impulsar un ecosistema digital seguro. Por eso, presentamos nuestra Política de Divulgación Coordinada de Salida , que describe cómo informamos responsablemente sobre los problemas de seguridad que descubrimos en software de terceros. Lo hacemos porque creemos que la divulgación coordinada de vulnerabilidades se convertirá en una práctica necesaria a medida que los sistemas de IA sean cada vez más capaces de encontrar y corregir vulnerabilidades de seguridad. Los sistemas desarrollados por OpenAI ya han descubierto vulnerabilidades de día cero en software de terceros y de código abierto, y estamos tomando esta medida proactiva anticipándonos a futuros descubrimientos.
Ya sea que surjan a través de investigaciones en curso, auditorías específicas del código fuente abierto que utilizamos o análisis automatizados mediante herramientas de inteligencia artificial, nuestro objetivo es informar las vulnerabilidades de una manera que sea cooperativa, respetuosa y útil para el ecosistema más amplio.
Qué cubre la póliza
Esta política establece cómo revelamos los problemas encontrados en software comercial y de código abierto a través de revisiones de código automatizadas y manuales, así como los descubrimientos que surgen del uso interno de software y sistemas de terceros.
Explica:
- Cómo validamos y priorizamos los hallazgos
- Cómo nos comunicamos con los proveedores y los mecanismos de divulgación que seguimos
- Cuándo y cómo nos hacemos públicos (primero no públicos, a menos que los detalles exijan lo contrario)
- Nuestros principios, que incluyen estar orientados al impacto, ser cooperativos, discretos por defecto, de gran escala y baja fricción, y proporcionar atribución cuando sea relevante.
Adoptamos una postura intencionadamente favorable para los desarrolladores en cuanto a los plazos de divulgación y hemos optado por dejarlos abiertos por defecto. Este enfoque refleja la naturaleza evolutiva del descubrimiento de vulnerabilidades, en particular a medida que los sistemas de IA se vuelven más eficaces para analizar el código, sus fortalezas y debilidades, y para generar parches fiables que aumentan su seguridad. Prevemos que nuestros modelos detectarán un mayor número de errores de creciente complejidad, lo que podría requerir una colaboración más estrecha y más tiempo para su resolución sostenible. Seguiremos trabajando con los responsables del mantenimiento del software para desarrollar normas de divulgación que equilibren la urgencia con la resiliencia a largo plazo. Nos reservamos el derecho a divulgar información cuando determinemos, por ejemplo, que existe interés público en hacerlo.
Mirando hacia el futuro
Seguiremos mejorando esta política a medida que aprendamos. Si tiene alguna pregunta sobre nuestras prácticas de divulgación, contáctenos en outbounddisclosures@openai.com .
La seguridad es un camino definido por la mejora continua. Agradecemos a los proveedores, investigadores y miembros de la comunidad que nos acompañan en este camino. Esperamos que la comunicación transparente sobre nuestro enfoque contribuya a un ecosistema más saludable y seguro para todos. OpenAI News. Traducido al español
Contacto