OpenAI’s Vulnerability Reporting: Ein neuer Ansatz zur Sicherheitskooperation

OpenAI hat eine Richtlinie für die koordinierte Offenlegung von Sicherheitsanfälligkeiten in Drittanbieter-Software eingeführt, die von seinen KI-Systemen entdeckt wurden. Diese Initiative zielt darauf ab, ein sicheres digitales Ökosystem zu fördern und die Zusammenarbeit zwischen Entwicklern und Softwareanbietern zu stärken.

Einführung der Outbound Coordinated Disclosure Policy

Am 9. Juni 2025 gab OpenAI bekannt, dass sie eine neue Outbound Coordinated Disclosure Policy einführen. Diese Richtlinie beschreibt, wie OpenAI Sicherheitsprobleme, die in Drittanbieter-Software entdeckt werden, verantwortungsbewusst meldet. Die Entscheidung, diese Richtlinie einzuführen, basiert auf der Überzeugung, dass die koordinierte Offenlegung von Sicherheitsanfälligkeiten eine notwendige Praxis wird, da KI-Systeme zunehmend in der Lage sind, Sicherheitsanfälligkeiten zu identifizieren und zu beheben.

Warum ist diese Richtlinie wichtig?

Die Systeme von OpenAI haben bereits Zero-Day-Sicherheitsanfälligkeiten in Drittanbieter- und Open-Source-Software aufgedeckt. Durch die Einführung dieser Richtlinie möchte OpenAI proaktiv auf zukünftige Entdeckungen reagieren. Die Richtlinie legt fest, wie Sicherheitsanfälligkeiten, die durch automatisierte und manuelle Codeüberprüfungen sowie durch interne Nutzung von Drittanbieter-Software entdeckt werden, gemeldet werden.

Inhalte der Richtlinie

Die Outbound Coordinated Disclosure Policy umfasst mehrere wichtige Aspekte:

• Wie OpenAI Entdeckungen validiert und priorisiert.
• Wie die Kontaktaufnahme mit Anbietern erfolgt und welche Offenlegungsmechanismen befolgt werden.
• Wann und wie OpenAI öffentlich wird (zunächst nicht öffentlich, es sei denn, die Details erfordern etwas anderes).
• Die Prinzipien der Offenlegung, die unter anderem kooperative, diskrete und skalierbare Ansätze beinhalten.

Die Richtlinie ist absichtlich entwicklerfreundlich gestaltet, indem sie die Zeitrahmen für die Offenlegung offenlässt. Dies spiegelt die sich entwickelnde Natur der Entdeckung von Sicherheitsanfälligkeiten wider, insbesondere da KI-Systeme immer effektiver darin werden, über Code nachzudenken, seine Stärken und Schwächen zu erkennen und zuverlässige Patches zu generieren.

Ausblick und kontinuierliche Verbesserung

OpenAI hat sich verpflichtet, diese Richtlinie kontinuierlich zu verbessern, während sie aus ihren Erfahrungen lernt. Die Organisation ermutigt alle, die Fragen zu ihren Offenlegungspraktiken haben, sich unter outbounddisclosures@openai.com zu melden. Sicherheit ist ein fortlaufender Prozess, der durch kontinuierliche Verbesserung definiert ist. OpenAI bedankt sich bei den Anbietern, Forschern und Mitgliedern der Gemeinschaft, die diesen Weg gemeinsam gehen.

Fazit

Die Einführung der Outbound Coordinated Disclosure Policy durch OpenAI stellt einen bedeutenden Schritt in Richtung eines sichereren digitalen Ökosystems dar. Durch die Förderung von Transparenz und Zusammenarbeit wird die Organisation nicht nur die Sicherheit ihrer eigenen Systeme verbessern, sondern auch einen positiven Einfluss auf die gesamte Software-Community ausüben.

Quellenliste:

• Quelle: OPENAI’S VULNERABILITY REPORTING
• Outbound Coordinated Disclosure Policy