Usaldusväärne juurdepääs küberkaitse järgmisele ajastule

Skaleerime oma programmi Trusted Access for Cyber (TAC) tuhandetele kinnitatud individuaalsetele kaitsjatele ja sadadele kriitilise tarkvara kaitsmise eest vastutavatele meeskondadele. Oleme aastaid ehitanud küberkaitseprogrammi, mis tugineb demokratiseeritud juurdepääsu, iteratiivse juurutamise ja ökosüsteemi vastupanuvõime põhimõtetele. Valmistudes OpenAI järgmiste kuude jooksul saabuvateks üha võimekamateks mudeliteks, peenhäälestame oma mudeleid spetsiaalselt kaitsvate küberturvalisuse kasutusjuhtude võimaldamiseks, alustades tänasest GPT‑5.4 variandiga, mis on treenitud olema kübertegevusi lubavam: GPT‑5.4‑Cyber. Selles postituses jagame, kuidas me ootame, et meie lähenemine küberkaitse skaleerimisele sünkroonis kasvava mudelivõimekusega suunaks tulevaste väljalasete testimist ja juurutamist.

Tehisintellekti progresseeruv kasutamine kiirendab kaitsjaid – neid, kes vastutavad süsteemide, andmete ja kasutajate ohutuse eest – võimaldades neil kiiremini leida ja parandada probleeme digitaalses taristus, millele kõik toetuvad. Samamoodi kasutavad⁠ tehisintellekti ründajad, kes soovivad kahju tekitada. Me oleme selleks valmistunud. Alates 2023. aastast oleme toetanud kaitsjaid oma küberturvalisuse toetusprogrammi⁠ kaudu ja tugevdanud kaitsemeetmeid oma valmisoleku raamistiku⁠ abil. Samal aastal hakkasime hindama oma mudelite kübervõimekust ning 2025. aastal hakkasime lisama oma mudelite juurutustesse⁠ kübervaldkonna spetsiifilisi kaitsemeetmeid⁠(avaneb uues aknas). Selle aasta alguses tõhustasime oma tuge kaitsjatele Codex Security⁠ turuletoomisega, et tuvastada ja parandada haavatavusi suures mahus. Meie lähenemist sellele pidevale võimekuse arendamisele juhivad kolm põhimõtet:

• Demokratiseeritud juurdepääs: meie eesmärk on teha need tööriistad võimalikult laialdaselt kättesaadavaks, vältides samal ajal nende väärkasutamist. Disainime mehhanisme, mis väldivad meelevaldset otsustamist selle üle, kes saab legitiimseks kasutamiseks juurdepääsu ja kes mitte. See tähendab selgete ja objektiivsete kriteeriumide ning meetodite kasutamist – nagu tugev KYC (tunne oma klienti) ja isikusamasuse tuvastamine –, et suunata, kes pääseb ligi⁠ arenenumatele võimekustele, ning nende protsesside aja jooksul automatiseerimist. Lõppkokkuvõttes on meie eesmärk teha täiustatud kaitsevõimekused kättesaadavaks nii suurtele kui ka väikestele legitiimsetele osalejatele, sealhulgas neile, kes vastutavad kriitilise infrastruktuuri, avalike teenuste ja nende digitaalsüsteemide kaitsmise eest, millest inimesed iga päev sõltuvad.
• Iteratiivne juurutamine: õpime kõige rohkem, tuues need süsteemid ettevaatlikult maailma⁠ ja täiustades neid aja jooksul. Mõistes paremini nii nende võimekusi kui ka riske, uuendame vastavalt oma mudeleid ja ohutussüsteeme. See hõlmab spetsiifiliste mudelite eristuvate eeliste ja riskide mõistmist, vastupanuvõime parandamist piirangutest möödahiilimiste ja teiste ründajate tegevuste suhtes ning kaitsevõimekuse parandamist — samal ajal kahjusid leevendades. 
• Investeerimine ökosüsteemi vastupidavusse: toetame ja kiirendame kaitsjate kogukonda usaldusväärsete juurdepääsuradade, sihtotstarbeliste toetuste⁠, avatud lähtekoodiga turvaalgatustesse⁠(avaneb uues aknas) panustamise ning selliste tehnoloogiate kaudu nagu Codex Security⁠, mis aitavad kaitsjatel haavatavusi kiiremini leida ja paigata. 

Meie strateegia küberturvalisuse vastupanuvõime ja kaitse kiirendamise osas

Aastaid on meie küberturvalisuse strateegia seisnenud teadustöösse investeerimises, väärkasutuse ennetamises ja kaitsjate kiirendamises. Mudelite võimekuse arenedes oleme laiendanud oma programme nende eesmärkide suunas, mis tuginevad järgmistele veendumustele: 

• Küberrisk on juba kohal ja kiireneb, kuid me saame tegutseda. Digitaalne infrastruktuur on olnud haavatav⁠(avaneb uues aknas) juba aastaid, isegi enne arenenud tehisintellekti tulekut. Nüüd saavad olemasolevad mudelid aidata leida haavatavusi, arutleda üle koodibaaside ja toetada kübertegevuste töövoo olulisi osi, samal ajal kui ohustajad eksperimenteerivad uudsete tehisintellekti juhitud lähenemisviisidega. Oleme näinud, kuidas keerukad testiraamistikud toovad esile üha tugevamaid võimekusi, kasutades olemasolevate mudelitega rohkem testiaegset arvutusvõimsust. See tähendab, et kaitsemeetmed ei saa oodata ühtset tuleviku lävepakku.
  
• Juurdepääsu laiendamine vastavalt sellele, kes neid süsteeme kasutab ja kuidas neid kasutatakse. Kübervõimekused on olemuslikult kahesuguse kasutusega, seega ei määra riski ainult mudel. See sõltub ka kasutajast, teda ümbritsevatest usaldussignaalidest⁠(avaneb uues aknas) ja talle antud juurdepääsu tasemest.
  • Laialdane juurdepääs kaitsemeetmetega üldmudelitele saab eksisteerida koos detailsemate kontrollidega kõrgema riskiga võimekuste jaoks, mida toetavad tugevam kontrollimine, selgemad kavatsuste signaalid ja parem ülevaade kasutusest.
  • Et võimaldada vastutustundlikku kasutamist suures mastaabis, vajame süsteeme, mis suudavad usaldusväärseid kasutajaid ja kasutusjuhte automatiseeritumalt ja objektiivsemalt valideerida. See võimaldab meil laiendada juurdepääsu tõendite ja reaalsete usaldussignaalide põhjal, selle asemel et toetuda manuaalsetele otsustele. Me ei pea otstarbekaks ega asjakohaseks otsustada tsentraalselt, kes saab end kaitsta. Selle asemel püüame võimaldada seda võimalikult paljudele legitiimsetele kaitsjatele, tagades juurdepääsu, mis põhineb kontrollimisel, usaldussignaalidel ja vastutustundlikkusel.
    
• Kaitset tuleks pidevalt skaleerida koos võimekusega. Mudelite võimekuse kasvades peab nendega koos skaleeruma ka kaitse. Oleme näinud pidevaid edusamme agendipõhises koodikirjutamises, millel on otsene mõju küberturvalisusele, ja me oleme oma lähenemist sellega sünkroonis kohandanud.
  • Alustasime kübervaldkonna spetsiifilise ohutuskoolitusega GPT‑5.2 juures, seejärel laiendasime seda täiendavate kaitsemeetmetega GPT‑5.3‑Codexi ja GPT‑5.4 kaudu, kus liigitasime mudeli meie valmisoleku raamistiku alusel ka „kõrge“ kübervõimekusega mudeliks. Paralleelselt suurendasime toetust kaitsjatele: käivitasime 10 miljoni dollari suuruse küberturvalisuse toetusprogrammi⁠, jõudsime enam kui 1000 avatud lähtekoodiga projektini Codex for Open Source⁠(avaneb uues aknas) abil, mis pakub tasuta turvaskannimist, ning jätkasime Codex Security täiustamist.
  • Codex Security, mis toodi privaatse beetaversioonina turule kuus kuud tagasi ja uurimiseelvaatena selle aasta alguses⁠, jälgib automaatselt koodibaase, valideerib probleeme ja pakub välja parandusi. Mudelite paranedes on paranenud ka süsteemi täpsus ja kasulikkus. Alates hiljutisest turuletoomisest on Codex Security aidanud kaasa enam kui 3000 kriitilise ja kõrge tasemega haavatavuse parandamisele, millele lisandub veel palju madalama raskusastmega parandatud leide kogu ökosüsteemis.
  • Nende väljalasete jooksul oleme täiustanud ka seda, kuidas mudelid käitlevad tundlikke päringuid, kalibreerides keeldumise piire, laiendades samal ajal usaldusväärset juurdepääsu selliste programmide kaudu nagu TAC.
    
• Tarkvaraarendus ise tuleb muuta turvalisemaks. Tugevaim ökosüsteem on selline, mis tuvastab, valideerib ja parandab turvaprobleeme pidevalt juba tarkvara kirjutamise käigus. Integreerides arendajate töövoogudesse täiustatud koodimudelid ja agendivõimekused, saame anda arendajatele kohest ja rakendatavat tagasisidet juba ehitamise käigus, nihutades turvalisuse episoodilistest audititest ja staatilistest veanimestikest pideva, käegakatsutava riskide vähendamise suunas.
  

Soovime võimestada kaitsjaid, andes laialdase juurdepääsu tipptasemel võimekustele, sealhulgas mudelitele, mis on spetsiaalselt küberturvalisuse jaoks kohandatud. Veebruaris tutvustasime programmi Trusted Access for Cyber⁠ (TAC) koos automatiseeritud isikutuvastusega üksikisikutele, et vähendada kaitsemeetmetest tulenevat hõõrdumist küberturvalisusega seotud ülesannetes, ning alustasime partnerlust piiratud arvu organisatsioonidega, et pakkuda kübertegevusi rohkem lubavaid mudeleid.

Täna laiendame seda programmi, tuues sisse täiendavad juurdepääsutasemed kasutajatele, kes on valmis tegema koostööd OpenAI-ga, et autentida end küberturvalisuse kaitsjatena. Kõrgeimate tasemete kliendid saavad juurdepääsu mudelile GPT‑5.4‑Cyber, mis on sihilikult peenhäälestatud täiendavate kübervõimekuste jaoks ja millel on vähem võimekuse piiranguid. See on GPT‑5.4 versioon, mis alandab keeldumise piiri legitiimse küberturvalisuse töö puhul ja võimaldab uusi võimekusi edasijõudnud kaitsetöövoogude jaoks, sealhulgas binaarkoodi pöördprojekteerimise võimekusi, mis võimaldavad turvaspetsialistidel analüüsida kompileeritud tarkvara pahavara potentsiaali, haavatavuste ja turvalisuse vastupidavuse osas, ilma et oleks vaja juurdepääsu selle lähtekoodile.

Kuna see mudel on lubavam, alustame piiratud iteratiivse juurutamisega kontrollitud turvatarnijatele, organisatsioonidele ja teadlastele. Juurdepääs lubavamatele ja kübervõimekusega mudelitele võib tulla koos piirangutega, eriti seoses nähtamatute kasutusviisidega, nagu nullandmete säilitamine⁠(avaneb uues aknas) (ZDR). See kehtib eriti arendajate ja organisatsioonide kohta, kes pääsevad meie mudelitele ligi kolmandate osapoolte platvormide kaudu, kus OpenAI-l võib olla vähem otsest ülevaadet kasutajast, keskkonnast või päringu eesmärgist. 

TAC-ile juurdepääsu saamine on lihtne:

• individuaalsed kasutajad saavad oma identiteeti kinnitada aadressil chatgpt.com/cyber⁠(avaneb uues aknas). 
• Ettevõtted saavad oma meeskonnale usaldusväärset juurdepääsu taotleda⁠ oma OpenAI esindaja kaudu. 

Kõik selle protsessi kaudu heaks kiidetud kliendid saavad juurdepääsu olemasolevate mudelite versioonidele, kus on vähendatud hõõrdumist seoses kaitsemeetmetega, mis võivad käivituda kahesuguse kasutusega kübertegevuse puhul, võimaldades neil jätkata turvakoolituste, kaitsva programmeerimise ja vastutustundliku haavatavuste uurimise toetamist. Kliendid, kes on juba TAC-is ja soovivad end legitiimsete küberkaitsjatena täiendavalt autentida, saavad avaldada huvi⁠(avaneb uues aknas) täiendavate juurdepääsutasemete vastu, sealhulgas taotleda juurdepääsu mudelile GPT‑5.4‑Cyber.

Meie küberturvalisuse kaitse on mitme kuu pikkuse iteratiivse täiustamise tulemus. Usume, et täna kasutusel olev kaitsemeetmete klass vähendab küberriski piisavalt, et toetada praeguste mudelite laialdast juurutamist. Eeldame, et nende kaitsemeetmete versioonid on piisavad eelseisvatele võimsamatele mudelitele, samas kui mudelid, mis on spetsiaalselt treenitud ja muudetud küberturvalisuse tööks lubavamaks, nõuavad piiravamaid juurutusi ja asjakohaseid kontrolle.

Pikas perspektiivis, tagamaks tehisintellekti ohutuse pidevat piisavust küberturvalisuses, näeme ka vajadust laiaulatuslikumate kaitsemeetmete järele tulevikumudelite puhul, mille võimekused ületavad peagi isegi tänapäeva parimaid spetsiaalselt ehitatud mudeleid.