ARTFEED — Contemporary Art Intelligence

OpenAI annuncia una politica di divulgazione coordinata delle vulnerabilità per software di terze parti

ai-technology · 2026-04-22

Il 22 settembre 2025, OpenAI ha presentato una nuova politica finalizzata a segnalare vulnerabilità di sicurezza nelle applicazioni di terze parti. Questa politica prevede un processo di divulgazione dettagliato che inizia con l'identificazione e la validazione dei problemi, includendo riepiloghi dell'impatto ed esempi di proof-of-concept. Gli ingegneri della sicurezza conducono revisioni tra pari per ogni segnalazione. I metodi preferiti per la segnalazione includono email di sicurezza dei fornitori e GitHub privato, evitando tracker pubblici e iniziative Bug Bounty. Le segnalazioni iniziali rimangono confidenziali, con divulgazioni pubbliche che avvengono solo dopo l'approvazione del fornitore, a meno che non vi sia sfruttamento in corso o obblighi legali. Le tecniche di rilevamento utilizzano analisi guidate dall'IA e audit. La politica sottolinea la collaborazione e l'integrità, attribuendo le vulnerabilità a OpenAI Security Research - Aardvark, con possibili modifiche man mano che la tecnologia IA evolve.

Fatti principali

  • OpenAI ha rilasciato la sua politica di divulgazione coordinata delle vulnerabilità in uscita il 22 settembre 2025
  • La politica regola come OpenAI segnala le vulnerabilità scoperte nel software di terze parti ai fornitori e ai manutentori open-source
  • I metodi di rilevamento includono analisi della sicurezza delle applicazioni basata su IA, ricerca sulla sicurezza, audit e fuzzing
  • Le divulgazioni subiscono una revisione interna tra pari da parte degli ingegneri della sicurezza prima del rilascio
  • Le segnalazioni iniziali sono private per impostazione predefinita, con la divulgazione pubblica che richiede tipicamente il consenso del fornitore
  • Le eccezioni alla divulgazione privata includono sfruttamento attivo, fornitori non responsivi o requisiti legali
  • Le vulnerabilità sono attribuite a OpenAI Security Research - Aardvark
  • La politica potrebbe cambiare man mano che la ricerca sulla sicurezza diventa sempre più automatizzata con i progressi dell'IA

Entità

Istituzioni

  • OpenAI
  • CERTs
  • CISA

Luoghi

  • United States

Fonti