OpenAI、バグ報奨金を最大10万ドルに増額

2025年3月、OpenAIはセキュリティ対策強化の一環として、同社のバグバウンティ（脆弱性報奨金）プログラムの上限報酬をこれまでの2万ドルから10万ドル（約1,500万円）に引き上げることを発表しました。この動きは、AIをめぐるサイバー脅威が高度化・多様化する中で、研究者や専門家と連携し、セキュリティ対策を加速させる狙いがあります。

バグバウンティ制度の背景と拡大

OpenAIは2023年4月に、セキュリティコミュニティとの連携を深めるため、Bugcrowdと提携しバグバウンティプログラムを開始しました。当初はChatGPTに関する脆弱性を対象とし、軽微な問題で200ドル、高度な発見で最大2万ドルの報酬を設定していました。

今回のアップデートにより、最大10万ドルの報奨金が設定され、「本当に重要かつ影響力の大きい脆弱性を発見してくれる研究者に正当な報酬を支払う」と同社は表明しています。

さらに、IDOR（Insecure Direct Object References）系のアクセス制御脆弱性に対する特別報酬キャンペーンも始動。これは2025年3月26日から4月30日までの期間限定で、通常より高額なベース報酬が設定されています。

サイバーセキュリティ助成プログラムも拡充

バグ報奨金制度と並行して、OpenAIはサイバーセキュリティ助成金プログラム（Cybersecurity Grant Program）も拡充中です。これまでに28の研究プロジェクトを支援しており、研究分野は以下のように多岐にわたります：

• 自律型サイバー防御技術

• 安全なコード生成

• プロンプトインジェクション対策

• AIによる脆弱性検知の自動化

今回新たに、以下の5つの研究領域に対しても助成金を募集しています。

1. ソフトウェアパッチ適用の自動化

2. AIモデルのプライバシー保護

3. セキュリティイベントの検知と対応

4. 既存システムとのセキュリティ統合

5. エージェント型AIにおけるセキュリティ課題の対処

加えて、APIクレジットを活用したマイクログラント制度の導入や、オープンソース脆弱性の研究支援も行われており、大学・政府・商業研究機関との連携も強化されています。

AI自身によるセキュリティ運用も推進

OpenAIは自社のAIモデルをセキュリティ対策に組み込み、リアルタイムな脅威検知やレスポンスの高度化も進めています。また、セキュリティ企業SpecterOpsとの提携により、インフラ全体（クラウド、社内システム、プロダクション環境）に対してレッドチーム演習を導入し、脅威耐性の検証も行っています。

バグバウンティとは？ホワイトハッカーが支える安全性の最前線

バグバウンティとは、企業や団体がシステムやソフトウェアの脆弱性を外部の専門家に調査・報告してもらい、その成果に対して報奨金を支払う制度です。OpenAIのように先進的なAIを提供する企業では、この制度が極めて重要な役割を果たしています。

報奨金は問題の深刻度に応じて設定されており、OpenAIでは低リスクなバグで200ドルから、重大な脆弱性には最大で10万ドルが支払われます。今回の拡大では、特にインパクトの大きいバグ、たとえばリモートコード実行（RCE）やアクセス制御の不備（IDOR）などに対する報酬が大幅に引き上げられました。

この取り組みを支えるのが、いわゆる「ホワイトハッカー」と呼ばれる倫理的なハッカーたちです。彼らは攻撃者と同様のスキルを持ちながら、目的は破壊ではなく守ることにあります。企業にとっては、攻撃を受ける前に弱点を指摘してもらえる「善意の攻撃者」として、極めて重要な存在です。