通过负责任的披露实现安全扩展

# 通过负责任的披露来扩展安全性 来源：https://openai.com/index/scaling-coordinated-vulnerability-disclosure/ OpenAI 在第三方软件漏洞报告中的方法，基于诚信、合作和规模。 我们正在发布《出站协调漏洞披露政策》(https://openai.com/policies/outbound-coordinated-disclosure-policy/)，该政策规定了我们在向第三方披露漏洞时应遵循的做法。 在 OpenAI，我们致力于推进一个安全的数字生态系统。这就是为什么我们推出了《出站协调漏洞披露政策》(https://openai.com/policies/outbound-coordinated-disclosure-policy/)，该政策阐述了我们如何负责任地报告我们在第三方软件中发现的安全问题。我们现在这样做是因为我们相信，随着 AI 系统发现和修补安全漏洞的能力越来越强，协调漏洞披露将成为一种必要的做法。OpenAI 开发的系统已经在第三方和开源软件中发现了零日漏洞，我们采取这一主动步骤是为了为未来的发现做准备。 无论是通过持续研究、对我们使用的开源代码的针对性审计，还是使用 AI 工具进行的自动化分析，我们的目标都是以合作、尊重和有益于更广泛生态系统的方式报告漏洞。 这项政策阐述了我们如何通过自动化和手动代码审查披露开源和商业软件中发现的问题，以及我们在使用第三方软件和系统时发现的问题。 它解释了： - 我们如何验证和优先考虑发现 - 我们如何联系供应商以及我们遵循的披露机制 - 何时以及如何公开（默认情况下先非公开，除非情况另有要求） - 我们的原则，包括以影响为导向、合作、默认谨慎、高规模低摩擦，以及在相关时提供署名 我们在披露时间表上采取了有意的开发者友好态度，默认情况下选择保持时间表开放。这种方法反映了漏洞发现性质的演变，特别是随着 AI 系统在代码推理、分析代码优缺点和生成可靠补丁方面变得更加高效。我们预期我们的模型将检测到数量更多、复杂性更高的漏洞，这可能需要更深入的协作和更多时间才能可持续地解决。我们将继续与软件维护者合作，制定平衡紧迫性与长期韧性的披露规范。我们仍然保留在我们认为存在公共利益等情况下进行披露的权利。 我们将继续改进这项政策。如果您对我们的披露做法有疑问，请通过 [email protected] 与我们联系。 安全是由持续改进定义的一段旅程。我们感谢与我们一同走在这条路上的供应商、研究人员和社区成员。我们希望我们对这一方法的透明沟通能够为每个人支撑一个更健康、更安全的生态系统。