OpenAI lanza Safety Bug Bounty para riesgos de IA | Keryc
OpenAI anuncia un programa público llamado Safety Bug Bounty para identificar abusos y riesgos de seguridad en sus productos de IA. ¿Por qué importa? Porque la IA avanza rápido y con ella aparecen formas nuevas y concretas de causar daño. Este programa busca cerrar esa brecha colaborando con investigadores y hackers éticos.
Qué busca el programa
El enfoque es específico: aceptar reportes que impliquen riesgos reales de abuso y seguridad, incluso cuando no sean vulnerabilidades tradicionales de software. OpenAI complementa así su programa de Security Bug Bounty y remite las investigaciones entre ambos equipos según corresponda.
Entre los escenarios en alcance están:
Riesgos agentivos incluyendo MCP: cuando texto malicioso logra tomar control de un agente agentic (por ejemplo Browser o ChatGPT Agent) para ejecutar acciones dañinas o filtrar datos sensibles. La conducta debe ser reproducible al menos en 50% de los intentos.
Acciones desautorizadas a escala realizadas por un producto agentivo en el sitio de OpenAI.
Acciones potencialmente dañinas de productos agentivos no listadas explícitamente, siempre que haya evidencia de daño plausible y material.
Generaciones de modelos que revelen información propietaria relacionada con razonamiento o vulnerabilidades que expongan otros datos propietarios de OpenAI.
Problemas de integridad de cuentas y señales de plataforma: por ejemplo, bypass de controles anti automatización, manipulación de señales de confianza de cuenta, o evadir suspensiones y restricciones.
Qué queda fuera y advertencias
Los jailbreaks generales que solo provocan lenguaje grosero o respuestas fácilmente encontrables en buscadores están fuera de alcance.
Pruebas para cierto tipo de riesgos (como MCP) deben respetar los términos de servicio de terceros.
Para algunas categorías dañinas, OpenAI ejecuta campañas privadas (por ejemplo, problemas de bioriesgo en ChatGPT Agent y GPT-5) y los investigadores interesados pueden aplicar cuando se lancen esas convocatorias.
No todo bypass de políticas es elegible. Lo que buscan son caminos que realmente faciliten daño a usuarios y que tengan pasos claros de mitigación.
Cómo participar si eres investigador
Aplica a través del formulario del Safety Bug Bounty de OpenAI.
Aporta evidencia reproducible y, cuando corresponda, impacto plausible y pasos concretos de mitigación.
Ten en cuenta que los reportes serán triados por los equipos de Safety y Security y pueden ser reenrutados según alcance y responsabilidad.
Impacto práctico y por qué te debería importar
Si trabajas con productos de IA (como desarrollador, integrador o responsable de seguridad), esto significa que ahora hay un canal formal para reportar riesgos específicos de comportamiento agentivo y de abuso que antes podían quedar en zona gris. Para usuarios y empresas, es una señal de que OpenAI busca fortalecer defensas más allá del clásico parche de seguridad: se trabaja también en la seguridad del comportamiento del modelo.
¿Y si solo eres curioso? Esto nos muestra algo importante: la seguridad en IA no es solo código, es diseño, controles y comunidad. Los incentivos para reportar fallas ayudan a que las herramientas sean más seguras para todos.
Reflexión final
El Safety Bug Bounty es un paso práctico: reconoce que la IA introduce vectores de riesgo nuevos y que la comunidad de investigadores es clave para detectarlos. No es una solución única, pero sí una invitación a colaborar de forma responsable para reducir daños reales.
