Μετάβαση στο κύριο περιεχόμενο
OpenAI

Αξιόπιστη πρόσβαση για τη νέα εποχή της κυβερνοάμυνας

Συνεχίζουμε να εξελίσσουμε την αξιόπιστη πρόσβαση, τις δικλίδες ασφαλείας και τη στήριξη του οικοσυστήματος για να βοηθήσουμε τους αμυνόμενους στον κυβερνοχώρο να μας προστατεύουν όλους.

Φόρτωση…

Κλιμακώνουμε το πρόγραμμα Trusted Access for Cyber (TAC) σε χιλιάδες επαληθευμένους μεμονωμένους αμυνόμενους και εκατοντάδες ομάδες που είναι υπεύθυνες για την προστασία κρίσιμου λογισμικού. Εδώ και χρόνια, χτίζουμε ένα πρόγραμμα κυβερνοάμυνας πάνω στις αρχές της εκδημοκρατισμένης πρόσβασης, της επαναληπτικής ανάπτυξης και της ανθεκτικότητας του οικοσυστήματος. Καθώς προετοιμαζόμαστε για ολοένα και πιο ικανά μοντέλα από την OpenAI τους επόμενους μήνες, προσαρμόζουμε τα μοντέλα μας ειδικά ώστε να υποστηρίζουν αμυντικές περιπτώσεις χρήσης κυβερνοασφάλειας, ξεκινώντας σήμερα με μια παραλλαγή του GPT‑5.4 εκπαιδευμένη ώστε να είναι cyber-permissive: GPT‑5.4‑Cyber. Σε αυτή την ανάρτηση, μοιραζόμαστε πώς αναμένουμε ότι η προσέγγισή μας για κλιμάκωση της κυβερνοάμυνας σε συγχρονισμό με την αύξηση των δυνατοτήτων των μοντέλων θα καθοδηγήσει τη δοκιμή και την ανάπτυξη μελλοντικών κυκλοφοριών.

Η προοδευτική χρήση της TN επιταχύνει τους αμυνόμενους – όσους είναι υπεύθυνοι για τη διατήρηση της ασφάλειας συστημάτων, δεδομένων και χρηστών – επιτρέποντάς τους να βρίσκουν και να διορθώνουν προβλήματα ταχύτερα στην ψηφιακή υποδομή από την οποία εξαρτώνται όλοι. Αντίστοιχα, η TN χρησιμοποιείται από επιτιθέμενους που επιδιώκουν να προκαλέσουν βλάβη. Προετοιμαζόμαστε γι’ αυτό. Από το 2023, στηρίζουμε τους αμυνόμενους μέσω του Cybersecurity Grant Program και ενισχύουμε τις δικλίδες ασφαλείας μέσω του Πλαισίου Ετοιμότητας. Την ίδια χρονιά, αρχίσαμε να αξιολογούμε τις κυβερνοδυνατότητες των μοντέλων μας και, το 2025, αρχίσαμε να περιλαμβάνουμε κυβερνοειδικές δικλίδες ασφαλείας(ανοίγει σε νέο παράθυρο) στις αναπτύξεις μοντέλων μας. Νωρίτερα φέτος, ενισχύσαμε περαιτέρω τη στήριξή μας προς τους αμυνόμενους με την κυκλοφορία του Codex Security για τον εντοπισμό και τη διόρθωση ευπαθειών σε κλίμακα. Η προσέγγισή μας σε αυτή τη συνεχή πρόοδο δυνατοτήτων καθοδηγείται από τρεις αρχές:

  • Εκδημοκρατισμένη πρόσβαση: Στόχος μας είναι να καταστήσουμε αυτά τα εργαλεία όσο το δυνατόν πιο ευρέως διαθέσιμα, αποτρέποντας παράλληλα την κατάχρηση. Σχεδιάζουμε μηχανισμούς που αποφεύγουν να αποφασίζουν αυθαίρετα ποιος αποκτά πρόσβαση για νόμιμη χρήση και ποιος όχι. Αυτό σημαίνει χρήση σαφών, αντικειμενικών κριτηρίων και μεθόδων – όπως ισχυρό KYC και επαλήθευση ταυτότητας – για να καθοδηγείται ποιος μπορεί να έχει πρόσβαση σε πιο προηγμένες δυνατότητες και αυτοματοποίηση αυτών των διαδικασιών με την πάροδο του χρόνου. Τελικά, επιδιώκουμε να καταστήσουμε προηγμένες αμυντικές δυνατότητες διαθέσιμες σε νόμιμους φορείς μεγάλους και μικρούς, συμπεριλαμβανομένων όσων είναι υπεύθυνοι για την προστασία κρίσιμων υποδομών, δημόσιων υπηρεσιών και των ψηφιακών συστημάτων από τα οποία εξαρτώνται οι άνθρωποι καθημερινά.
  • Επαναληπτική ανάπτυξη: Μαθαίνουμε τα περισσότερα τοποθετώντας αυτά τα συστήματα στον κόσμο προσεκτικά και βελτιώνοντάς τα με την πάροδο του χρόνου. Καθώς κατανοούμε καλύτερα τόσο τις δυνατότητές τους όσο και τους κινδύνους τους, ενημερώνουμε αναλόγως τα μοντέλα και τα συστήματα ασφάλειάς μας. Αυτό περιλαμβάνει την κατανόηση των διαφοροποιημένων οφελών και κινδύνων συγκεκριμένων μοντέλων, τη βελτίωση της ανθεκτικότητας σε jailbreaks και άλλες επιθέσεις αντιπάλου, και τη βελτίωση των αμυντικών δυνατοτήτων — ενώ μετριάζουμε τις βλάβες. 
  • Επένδυση στην ανθεκτικότητα του οικοσυστήματος: Στηρίζουμε και επιταχύνουμε την κοινότητα των αμυνόμενων μέσω διαδρομών αξιόπιστης πρόσβασης, στοχευμένων επιχορηγήσεων, συνεισφορών σε πρωτοβουλίες ασφάλειας ανοιχτού κώδικα(ανοίγει σε νέο παράθυρο) και τεχνολογιών όπως το Codex Security, που βοηθούν τους αμυνόμενους να βρίσκουν και να διορθώνουν ευπάθειες ταχύτερα. 

Η στρατηγική μας για ανθεκτικότητα στην κυβερνοασφάλεια και επιτάχυνση της άμυνας

Εδώ και χρόνια, η στρατηγική μας για την κυβερνοασφάλεια είναι να επενδύουμε στην έρευνα, να αποτρέπουμε την κατάχρηση και να επιταχύνουμε τους αμυνόμενους. Καθώς οι δυνατότητες των μοντέλων έχουν προχωρήσει, έχουμε επεκτείνει τα προγράμματά μας προς αυτούς τους στόχους, οι οποίοι βασίζονται στις ακόλουθες πεποιθήσεις: 

  • Ο κυβερνοκίνδυνος είναι ήδη εδώ και επιταχύνεται, αλλά μπορούμε να δράσουμε. Η ψηφιακή υποδομή είναι ευάλωτη(ανοίγει σε νέο παράθυρο) εδώ και χρόνια, πριν ακόμη εμφανιστεί η προηγμένη TN. Τώρα, τα υπάρχοντα μοντέλα μπορούν να βοηθήσουν στον εντοπισμό ευπαθειών, να εφαρμόζουν συλλογιστική σε βάσεις κώδικα και να υποστηρίζουν ουσιαστικά μέρη της κυβερνοροής εργασίας, ενώ οι φορείς απειλών πειραματίζονται με νέες προσεγγίσεις που βασίζονται στην TN. Έχουμε δει εξελιγμένα harnesses να αποσπούν ολοένα και ισχυρότερες δυνατότητες χρησιμοποιώντας περισσότερη υπολογιστική ισχύ κατά τον χρόνο δοκιμής με υπάρχοντα μοντέλα. Αυτό σημαίνει ότι οι δικλίδες ασφαλείας δεν μπορούν να περιμένουν ένα μελλοντικό κατώφλι.
  • Επεκτείνετε την πρόσβαση με βάση το ποιος χρησιμοποιεί αυτά τα συστήματα και πώς χρησιμοποιούνται. Οι κυβερνοδυνατότητες είναι εγγενώς διττής χρήσης, επομένως ο κίνδυνος δεν ορίζεται μόνο από το μοντέλο. Εξαρτάται επίσης από τον χρήστη, τα σήματα εμπιστοσύνης(ανοίγει σε νέο παράθυρο) γύρω του και το επίπεδο πρόσβασης που του δίνεται.
    • Η ευρεία πρόσβαση σε γενικά μοντέλα με δικλίδες ασφαλείας μπορεί να συνυπάρχει με πιο λεπτομερείς ελέγχους για δυνατότητες υψηλότερου κινδύνου, που υποστηρίζονται από ισχυρότερη επαλήθευση, σαφέστερα σήματα πρόθεσης και καλύτερη ορατότητα στη χρήση.
    • Για να καταστεί δυνατή η υπεύθυνη χρήση σε κλίμακα, χρειαζόμαστε συστήματα που μπορούν να επικυρώνουν αξιόπιστους χρήστες και περιπτώσεις χρήσης με πιο αυτοματοποιημένους και πιο αντικειμενικούς τρόπους. Αυτό μας επιτρέπει να επεκτείνουμε την πρόσβαση με βάση αποδείξεις και πραγματικά σήματα εμπιστοσύνης, αντί να βασιζόμαστε σε χειροκίνητες αποφάσεις. Δεν πιστεύουμε ότι είναι πρακτικό ή κατάλληλο να αποφασίζουμε κεντρικά ποιος μπορεί να αμυνθεί. Αντίθετα, επιδιώκουμε να δώσουμε τη δυνατότητα σε όσο το δυνατόν περισσότερους νόμιμους αμυνόμενους, με πρόσβαση που βασίζεται στην επαλήθευση, στα σήματα εμπιστοσύνης και στη λογοδοσία.
  • Οι άμυνες πρέπει να κλιμακώνονται συνεχώς μαζί με τις δυνατότητες. Καθώς οι δυνατότητες των μοντέλων αυξάνονται, οι άμυνες πρέπει να κλιμακώνονται παράλληλα. Έχουμε δει σταθερές βελτιώσεις στην agentic κωδικοποίηση, οι οποίες έχουν άμεσες επιπτώσεις στην κυβερνοασφάλεια, και έχουμε προσαρμόσει την προσέγγισή μας αναλόγως.
    • Ξεκινήσαμε εκπαίδευση ασφάλειας ειδικά για τον κυβερνοχώρο με το GPT‑5.2 και στη συνέχεια την επεκτείναμε με πρόσθετες δικλίδες ασφαλείας μέσω των GPT‑5.3‑Codex και GPT‑5.4, όπου επίσης ταξινομήσαμε το μοντέλο ως «υψηλής» κυβερνοδυνατότητας στο πλαίσιο του Πλαισίου Ετοιμότητας. Παράλληλα, αυξήσαμε τη στήριξη προς τους αμυνόμενους: λανσάραμε ένα Cybersecurity Grant Program ύψους 10 εκατ. δολαρίων, φτάσαμε σε πάνω από 1.000 έργα ανοιχτού κώδικα με το Codex for Open Source(ανοίγει σε νέο παράθυρο), που παρέχει δωρεάν σάρωση ασφάλειας, και συνεχίσαμε να βελτιώνουμε το Codex Security.
    • Το Codex Security, που κυκλοφόρησε σε ιδιωτική beta πριν από έξι μήνες και ως research preview νωρίτερα φέτος, παρακολουθεί αυτόματα βάσεις κώδικα, επικυρώνει ζητήματα και προτείνει διορθώσεις. Καθώς τα μοντέλα βελτιώθηκαν, βελτιώθηκαν και η ακρίβεια και η χρησιμότητα του συστήματος. Από την πρόσφατη κυκλοφορία, το Codex Security έχει συμβάλει στη διόρθωση πάνω από 3.000 κρίσιμων και υψηλής σοβαρότητας ευπαθειών, μαζί με πολλές ακόμη διορθωμένες ευπάθειες χαμηλότερης σοβαρότητας σε όλο το οικοσύστημα.
    • Σε όλες αυτές τις κυκλοφορίες, βελτιώσαμε επίσης τον τρόπο με τον οποίο τα μοντέλα χειρίζονται ευαίσθητα αιτήματα, ρυθμίζοντας τα όρια άρνησης ενώ επεκτείναμε την αξιόπιστη πρόσβαση μέσω προγραμμάτων όπως το TAC.
  • Η ίδια η ανάπτυξη λογισμικού πρέπει να γίνει πιο ασφαλής. Το ισχυρότερο οικοσύστημα είναι εκείνο που εντοπίζει, επικυρώνει και διορθώνει συνεχώς ζητήματα ασφάλειας καθώς γράφεται το λογισμικό. Ενσωματώνοντας προηγμένα μοντέλα κωδικοποίησης και agentic δυνατότητες στις ροές εργασίας των προγραμματιστών, μπορούμε να δίνουμε στους προγραμματιστές άμεση, αξιοποιήσιμη ανατροφοδότηση ενώ δημιουργούν, μετατοπίζοντας την ασφάλεια από σποραδικούς ελέγχους και στατικά αποθέματα σφαλμάτων σε συνεχή, απτή μείωση κινδύνου.

Κλιμάκωση του Trusted Access for Cyber και του GPT‑5.4‑Cyber 

Θέλουμε να ενδυναμώσουμε τους αμυνόμενους δίνοντας ευρεία πρόσβαση σε frontier δυνατότητες, συμπεριλαμβανομένων μοντέλων που έχουν σχεδιαστεί ειδικά για την κυβερνοασφάλεια. Τον Φεβρουάριο, παρουσιάσαμε το Trusted Access for Cyber (TAC) με αυτοματοποιημένη επαλήθευση ταυτότητας για άτομα, ώστε να μειωθεί η τριβή των δικλίδων ασφαλείας σε εργασίες σχετικές με την κυβερνοασφάλεια, και συνεργαστήκαμε με περιορισμένο σύνολο οργανισμών για πιο cyber-permissive μοντέλα.

Σήμερα επεκτείνουμε αυτό το πρόγραμμα εισάγοντας πρόσθετα επίπεδα πρόσβασης για χρήστες που είναι πρόθυμοι να συνεργαστούν με την OpenAI για να πιστοποιηθούν ως αμυνόμενοι στην κυβερνοασφάλεια. Οι πελάτες στα υψηλότερα επίπεδα θα αποκτήσουν πρόσβαση στο GPT‑5.4‑Cyber, ένα μοντέλο σκόπιμα προσαρμοσμένο για πρόσθετες κυβερνοδυνατότητες και με λιγότερους περιορισμούς δυνατοτήτων. Πρόκειται για μια έκδοση του GPT‑5.4 που μειώνει το όριο άρνησης για νόμιμη εργασία κυβερνοασφάλειας και επιτρέπει νέες δυνατότητες για προηγμένες αμυντικές ροές εργασίας, συμπεριλαμβανομένων δυνατοτήτων αντίστροφης μηχανικής δυαδικών αρχείων που επιτρέπουν στους επαγγελματίες ασφάλειας να αναλύουν μεταγλωττισμένο λογισμικό ως προς πιθανότητα κακόβουλου λογισμικού, ευπάθειες και ανθεκτικότητα ασφάλειας χωρίς να χρειάζονται πρόσβαση στον πηγαίο κώδικά του.

Επειδή αυτό το μοντέλο είναι πιο επιτρεπτικό, ξεκινάμε με περιορισμένη, επαναληπτική ανάπτυξη σε ελεγμένους προμηθευτές ασφάλειας, οργανισμούς και ερευνητές. Η πρόσβαση σε επιτρεπτικά και κυβερνοϊκανά μοντέλα μπορεί να συνοδεύεται από περιορισμούς, ειδικά γύρω από χρήσεις χωρίς ορατότητα όπως το Zero-Data Retention(ανοίγει σε νέο παράθυρο) (ZDR). Αυτό ισχύει ιδιαίτερα για προγραμματιστές και οργανισμούς που αποκτούν πρόσβαση στα μοντέλα μας μέσω πλατφορμών τρίτων, όπου η OpenAI μπορεί να έχει λιγότερη άμεση ορατότητα στον χρήστη, στο περιβάλλον ή στον σκοπό του αιτήματος. 

Η απόκτηση πρόσβασης στο TAC είναι απλή:

Όλοι οι πελάτες που εγκρίνονται μέσω αυτής της διαδικασίας θα αποκτούν πρόσβαση σε εκδόσεις υπαρχόντων μοντέλων με μειωμένη τριβή γύρω από δικλίδες ασφαλείας που μπορεί να ενεργοποιούνται σε κυβερνοδραστηριότητα διττής χρήσης, επιτρέποντάς τους να συνεχίσουν να υποστηρίζουν την εκπαίδευση στην ασφάλεια, τον αμυντικό προγραμματισμό και την υπεύθυνη έρευνα ευπαθειών. Οι πελάτες που βρίσκονται ήδη στο TAC και είναι πρόθυμοι να πιστοποιηθούν περαιτέρω ως νόμιμοι αμυνόμενοι στον κυβερνοχώρο μπορούν να εκδηλώσουν ενδιαφέρον(ανοίγει σε νέο παράθυρο) για πρόσθετα επίπεδα πρόσβασης, συμπεριλαμβανομένου αιτήματος πρόσβασης στο GPT‑5.4‑Cyber.

Κοιτάζοντας μπροστά προς την επερχόμενη κυκλοφορία μοντέλου και πέρα από αυτή

Οι άμυνές μας στην κυβερνοασφάλεια είναι αποτέλεσμα πολλών μηνών επαναληπτικής βελτίωσης. Πιστεύουμε ότι η κατηγορία δικλίδων ασφαλείας που χρησιμοποιείται σήμερα μειώνει επαρκώς τον κυβερνοκίνδυνο ώστε να υποστηρίζει την ευρεία ανάπτυξη των τρεχόντων μοντέλων. Αναμένουμε ότι εκδόσεις αυτών των δικλίδων ασφαλείας θα είναι επαρκείς και για τα επερχόμενα ισχυρότερα μοντέλα, ενώ τα μοντέλα που έχουν εκπαιδευτεί ρητά και έχουν γίνει πιο επιτρεπτικά για εργασία κυβερνοασφάλειας απαιτούν πιο περιοριστικές αναπτύξεις και κατάλληλους ελέγχους.

Μακροπρόθεσμα, για να διασφαλιστεί η διαρκής επάρκεια της ασφάλειας της TN στην κυβερνοασφάλεια, αναμένουμε επίσης την ανάγκη για πιο εκτεταμένες άμυνες για μελλοντικά μοντέλα, των οποίων οι δυνατότητες θα ξεπερνούν γρήγορα ακόμη και τα καλύτερα εξειδικευμένα μοντέλα του σήμερα.

Συντάκτης

OpenAI