OpenAI가 AI를 오작동시켜 보상 받아가세요 라고 했다

OpenAI가 "AI를 오작동시켜 보상 받아가세요" 라고 했다

버그 바운티 프로그램은 원래 보안 취약점 신고에 돈 주는 거다. 해커가 구멍 찾아주면 회사가 고친다. 그런데 OpenAI가 이걸 AI 안전성 영역으로 확장했다. 2026년 3월 26일 발표한 Safety Bug Bounty가 그거다.

기존 보안 버그 바운티랑 뭐가 다른가

기존 Security Bug Bounty는 전통적인 의미의 취약점이다. 데이터 유출, 인증 우회, 코드 인젝션 같은 것들. 이건 그냥 소프트웨어 보안 문제다.

새로 만든 Safety Bug Bounty는 범위가 다르다. AI 남용과 안전 리스크에 초점을 맞춘다. 기술적 취약점이 아니라 모델이 위험한 방식으로 동작하게 만들 수 있는 케이스들이다. 예를 들어 의도적인 프롬프트로 모델이 유해한 내용을 생성하게 만드는 방법이라든지, 안전 필터를 우회하는 패턴 같은 것들이다.

두 프로그램의 관계

두 프로그램은 별개로 운영되지만 연결되어 있다. 신고가 들어오면 범위와 소유권에 따라 두 팀이 각각 검토한다. 보안 취약점이면 보안팀이, 안전 리스크면 안전팀이 맡는다.

왜 이게 필요해졌나

AI 모델이 복잡해질수록 개발팀만으로는 모든 문제를 찾기가 불가능해진다. 레드팀 운영도 하고 내부 테스트도 하지만, 전 세계 수백만 명이 쓰면서 발견하는 엣지 케이스를 내부에서 다 커버하기는 현실적으로 어렵다. 외부 연구자들을 공식적으로 끌어들이는 게 합리적인 선택이다.

그리고 보상을 주는 구조는 의미 있다. 그냥 신고해달라고 하는 것보다 사람들이 훨씬 열심히 찾는다. 보안 분야에서 수십 년 동안 검증된 방법이다.

개발자나 연구자한테 뭘 의미하는가

만약 AI 모델을 많이 써본 사람이라면, 가끔 "이게 왜 이렇게 반응하지?" 싶은 순간이 있었을 거다. 그런 케이스들이 이제 신고하고 보상받을 수 있는 영역이 됐다.

더 큰 맥락에서 보면, AI 안전성 연구가 학계와 기업 내부에만 있던 것에서 벗어나 일반 커뮤니티로 확장되는 흐름이다. 구글, 메타도 비슷한 방향을 가고 있고, 이게 업계 표준이 되어가는 중이다.

한계도 있다

어떤 신고가 "안전 리스크"로 인정되는지 기준이 명확하지 않으면 문제가 생긴다. 사람마다 기준이 다를 수 있고, OpenAI의 판단과 신고자의 판단이 엇갈릴 수 있다. 실제로 보상이 얼마나 주어지는지, 어떤 기준으로 인정되는지가 이 프로그램의 실효성을 결정할 거다.

첫 발표니까 지켜봐야 한다. 다만 방향은 맞다.

---

📎 참고 자료

• OpenAI Launches Bug Bounty Program for Abuse and Safety Risks - SecurityWeek
• OpenAI Expands Bug Bounty to Cover AI Abuse and 'Safety' Concerns - Infosecurity Magazine
• Make OpenAI's models misbehave and earn a reward - Help Net Security