دسترسی مطمئن برای عصر بعدی دفاع سایبری

ما در حال گسترش برنامه دسترسی مطمئن برای امنیت سایبری (TAC) خود برای هزاران مدافع فردیِ تأییدشده و صدها تیم مسئول دفاع از نرم‌افزارهای حیاتی هستیم. سال‌هاست که ما برنامه دفاع سایبری خود را بر پایه اصول دسترسی همگانی، استقرار تدریجی و تاب‌آوری اکوسیستم بنا کرده‌ایم. در راستای آماده‌سازی برای مدل‌های هرچه توانمندتر OpenAI در ماه‌های آینده، ما مدل‌های خود را به‌طور خاص برای کاربردهای دفاعی امنیت سایبری تنظیم می‌کنیم؛ این روند از امروز با گونه‌ای از GPT‑5.4 که برای رویکردی بازتر در حوزه سایبری آموزش دیده است آغاز می‌شود: GPT‑5.4‑Cyber. در این مطلب توضیح می‌دهیم که انتظار داریم رویکرد ما در مسیر گسترش دفاع سایبری همگام با افزایش قابلیت‌های مدل، راهنمای آزمایش و استقرار نسخه‌های آینده باشد.

استفاده روزافزون از هوش مصنوعی، مدافعان — کسانی که مسئول ایمن نگه داشتن سامانه‌ها، داده‌ها و کاربران هستند — را توانمندتر می‌کند و به آن‌ها امکان می‌دهد مشکلات را در زیرساخت دیجیتالی که همه به آن متکی هستند، سریع‌تر پیدا و برطرف کنند. به همین ترتیب، هوش مصنوعی نیز توسط مهاجمانی که به دنبال آسیب‌رساندن هستند، مورد استفاده قرار می‌گیرد⁠. ما برای این آماده شده‌ایم. از سال 2023، ما از مدافعان از طریق برنامه کمک‌هزینه امنیت سایبری⁠ حمایت کرده‌ایم و با استفاده از چارچوب آمادگی⁠، تدابیر حفاظتی را تقویت کرده‌ایم. در همان سال، ما ارزیابی قابلیت‌های سایبری مدل‌های خود را آغاز کردیم، و در سال 2025، تدابیر حفاظتی ویژهٔ سایبری⁠(در یک پنجره جدید باز می‌شود) را در استقرار مدل‌ها⁠ی خود گنجاندیم. اوایل امسال، با راه‌اندازی Codex Security⁠ برای شناسایی و رفع آسیب‌پذیری‌ها در مقیاس وسیع، حمایت خود را از مدافعان گسترش دادیم. رویکرد ما به این پیشرفت مستمر قابلیت‌ها بر پایه سه اصل هدایت می‌شود:

• دسترسی دموکراتیک‌شده: هدف ما این است که این ابزارها را تا حد امکان به‌طور گسترده در دسترس قرار دهیم و در عین حال از سوءاستفاده جلوگیری کنیم. ما سازوکارهایی طراحی می‌کنیم که از تصمیم‌گیری دل‌بخواهی دربارهٔ اینکه چه کسی برای استفادهٔ مشروع دسترسی پیدا می‌کند و چه کسی نه، جلوگیری می‌کنند. این به معنای استفاده از معیارها و روش‌های شفاف و عینی—مانند احراز هویت قوی (KYC)—برای تعیین اینکه چه کسانی می‌توانند⁠ به قابلیت‌های پیشرفته‌تر دسترسی داشته باشند و خودکارسازی این فرآیندها در طول زمان است. در نهایت، هدف ما این است که قابلیت‌های دفاعی پیشرفته را برای کنشگران مشروع، بزرگ و کوچک، در دسترس قرار دهیم؛ از جمله کسانی که مسئول حفاظت از زیرساخت‌های حیاتی، خدمات عمومی و سامانه‌های دیجیتالی هستند که مردم هر روز به آن‌ها وابسته‌اند.
• استقرار تدریجی: ما بیشترین یادگیری را از عرضهٔ سنجیدهٔ این سامانه‌ها در دنیای واقعی⁠ و بهبود بخشیدن آن‌ها در گذر زمان به دست می‌آوریم. با درک بهتر قابلیت‌ها و ریسک‌های آن‌ها، مدل‌ها و سیستم‌های ایمنی خود را متناسب با آن به‌روزرسانی می‌کنیم. این شامل درک مزایا و خطرات متمایزِ مدل‌های خاص، بهبود تاب‌آوری در برابر جیلبریک و سایر حملات خصمانه، و تقویت قابلیت‌های دفاعی — در عین کاهش آسیب‌ها — نیز می‌شود. 
• سرمایه‌گذاری در تاب‌آوری اکوسیستم: ما از جامعه مدافعان از طریق مسیرهای دسترسی مورد اعتماد، بورسیه‌های⁠ هدفمند، مشارکت در ابتکارهای امنیتی متن‌باز⁠(در یک پنجره جدید باز می‌شود) و فناوری‌هایی مانند Codex Security⁠ که به مدافعان کمک می‌کنند آسیب‌پذیری‌ها را سریع‌تر پیدا و اصلاح کنند، حمایت می‌کنیم و به شتاب می‌اندازیم. 

راهبرد ما برای تاب‌آوری امنیت سایبری و شتاب‌بخشی دفاعی

سال‌هاست که راهبرد امنیت سایبری ما بر سرمایه‌گذاری در پژوهش، جلوگیری از سوءاستفاده و تسریع توانمندسازی مدافعان متمرکز بوده است. با پیشرفت قابلیت‌های مدل، برنامه‌های خود را در راستای این اهداف گسترش داده‌ایم؛ اهدافی که بر پایه باورهای زیر استوارند: 

• ریسک سایبری از همین حالا وجود دارد و با شتاب در حال افزایش است، اما می‌توانیم اقدام کنیم. زیرساخت‌های دیجیتال سال‌ها پیش از آنکه هوش مصنوعی پیشرفته اصلاً از راه برسد، آسیب‌پذیر بوده‌اند⁠(در یک پنجره جدید باز می‌شود). اکنون، مدل‌های موجود می‌توانند به شناسایی آسیب‌پذیری‌ها، تحلیل کدها و پشتیبانی از بخش‌های مهم جریان کاری امنیت سایبری کمک کنند و عاملان تهدید در حال آزمایش رویکردهای نوین مبتنی بر هوش مصنوعی هستند. دیده‌ایم که هارنس‌های پیشرفته با استفاده از محاسبات بیشتر در زمان آزمون و با تکیه بر مدل‌های موجود، قابلیت‌های هرچه قوی‌تری را بروز می‌دهند. این یعنی تدابیر ایمنی نمی‌توانند منتظر یک آستانه واحد در آینده بمانند.
  
• دسترسی را بر اساس اینکه چه کسانی از این سیستم‌ها استفاده می‌کنند و چگونه از آن‌ها استفاده می‌شود، گسترش دهید. قابلیت‌های سایبری ذاتاً دوکاربردی هستند؛ بنابراین خطر صرفاً با مدل به‌تنهایی تعیین نمی‌شود. این موضوع همچنین به کاربر، سیگنال‌های اعتماد⁠(در یک پنجره جدید باز می‌شود) پیرامون او و سطح دسترسی‌ای که به او داده می‌شود بستگی دارد.
  • دسترسی گسترده به مدل‌های عمومی همراه با تدابیر حفاظتی می‌تواند در کنار کنترل‌های دقیق‌تر برای قابلیت‌های پرریسک‌تر وجود داشته باشد که این امر با تأییدات قوی‌تر، نشانه‌های واضح‌تر از نیت، و دید بهتر نسبت به نحوه استفاده پشتیبانی می‌شود.
  • برای امکان‌پذیر کردن استفاده مسئولانه در مقیاس گسترده، به سیستم‌هایی نیاز داریم که بتوانند کاربران و موارد استفاده قابل‌اعتماد را به شیوه‌هایی خودکارتر و عینی‌تر اعتبارسنجی کنند. این امکان را فراهم می‌کند که دسترسی را بر اساس شواهد و سیگنال‌های واقعی اعتماد گسترش دهیم، نه صرفاً تصمیم‌گیری‌های دستی. ما فکر نمی‌کنیم که عملی یا مناسب باشد که به‌صورت متمرکز تصمیم بگیریم چه کسی اجازه داشته باشد از خود دفاع کند. در عوض، هدف ما این است که تا حد امکان شمار بیشتری از مدافعان معتبر را توانمند کنیم، به‌گونه‌ای که دسترسی آن‌ها بر راستی‌آزمایی، سیگنال‌های اعتماد، و پاسخ‌گویی استوار باشد.
    
• دفاع‌ها باید به‌طور مستمر با قابلیت‌ها متناسب‌سازی شوند. با افزایش قابلیت‌های مدل، دفاع‌ها نیز باید همگام با آن‌ها مقیاس بگیرند. ما شاهد پیشرفت‌های مستمر در کدنویسی عامل‌محور بوده‌ایم که پیامدهای مستقیمی برای امنیت سایبری دارند و رویکرد خود را نیز متناسب با آن تطبیق داده‌ایم.
  • ما آموزش ایمنی ویژه امنیت سایبری را با GPT‑5.2 آغاز کردیم و سپس آن را با تدابیر حفاظتی بیشتر در GPT‑5.3‑Codex و GPT‑5.4 گسترش دادیم. جایی که ما همچنین مدل را تحت چارچوب آمادگی خود به عنوان دارای قابلیت سایبری «بالا» طبقه‌بندی کردیم. هم‌زمان، حمایت خود از مدافعان را افزایش دادیم: برنامه کمک‌هزینه ۱۰ میلیون دلاری امنیت سایبری⁠ را راه‌اندازی کردیم، از طریق Codex برای متن‌باز⁠(در یک پنجره جدید باز می‌شود) که اسکن امنیتی رایگان ارائه می‌دهد به بیش از ۱٬۰۰۰ پروژه متن‌باز دست یافتیم، و به بهبود Codex Security ادامه دادیم.
  • Codex Security که شش ماه پیش در نسخه بتای خصوصی راه‌اندازی شد و اوایل امسال⁠ به صورت پیش‌نمایش تحقیقاتی عرضه شد، به‌طور خودکار پایگاه‌های کد را پایش می‌کند، مشکلات را اعتبارسنجی می‌کند و راه‌حل‌هایی برای رفع آن‌ها پیشنهاد می‌دهد. با بهبود مدل‌ها، دقت و کارایی سیستم نیز افزایش یافته است. از زمان عرضه اخیر، Codex Security در رفع بیش از 3000 آسیب‌پذیری بحرانی و با شدت بالا، به همراه تعداد بسیار بیشتری از یافته‌های رفع‌شده با شدت کمتر در سراسر اکوسیستم، نقش داشته است.
  • در طول این به‌روزرسانی‌ها، نحوه مدیریت درخواست‌های حساس را بهبود داده‌ایم و هم‌زمان مرزهای امتناع را تنظیم کرده‌ایم و همزمان دسترسی مطمئن را از طریق برنامه‌هایی مانند TAC گسترش داده‌ایم.
    
• خودِ توسعه نرم‌افزار باید امن‌تر شود. قوی‌ترین اکوسیستم، اکوسیستمی است که به طور مداوم مسائل امنیتی را شناسایی، اعتبارسنجی و برطرف می‌کند. با ادغام مدل‌های پیشرفته کدنویسی و قابلیت‌های عامل‌محور در جریان‌های کاری توسعه‌دهندگان، می‌توانیم در حین ساخت، بازخوردی فوری و قابل‌اقدام در اختیار توسعه‌دهندگان قرار دهیم و امنیت را از ممیزی‌های مقطعی و فهرست‌های ایستای باگ‌ها به کاهش مستمر و ملموس ریسک منتقل کنیم.
  

ما می‌خواهیم با فراهم کردن دسترسی گسترده به قابلیت‌های پیشرو، از جمله مدل‌هایی که به‌طور ویژه برای امنیت سایبری طراحی شده‌اند، مدافعان را توانمند کنیم. در ماه فوریه، ما دسترسی مطمئن برای سایبر⁠ (TAC) را معرفی کردیم که هم شامل احراز هویت خودکار افراد برای کاهش اصطکاک ناشی از تدابیر حفاظتی در وظایف مرتبط با امنیت سایبری می‌شود و هم همکاری با مجموعه محدودی از سازمان‌ها برای مدل‌های با محدودیت کمتر در حوزه سایبری را در بر می‌گیرد.

امروز این برنامه را با معرفی سطوح دسترسی بیشتری برای کاربرانی گسترش می‌دهیم که مایل هستند برای احراز هویت خود به‌عنوان مدافعان امنیت سایبری با OpenAI همکاری کنند. مشتریانی که در بالاترین سطوح قرار دارند، به GPT‑5.4‑Cyber دسترسی خواهند داشت؛ مدلی که به طور ویژه برای قابلیت‌های سایبری بیشتر تنظیم دقیق شده است و محدودیت‌های کمتری در قابلیت‌ها دارد. این نسخه‌ای از GPT‑5.4 است که آستانه امتناع را برای کاربردهای مشروع امنیت سایبری کاهش می‌دهد و قابلیت‌های جدیدی را برای گردش‌کارهای دفاعی پیشرفته فراهم می‌کند؛ از جمله قابلیت‌های مهندسی معکوس باینری که به متخصصان امنیتی امکان می‌دهد نرم‌افزار کامپایل‌شده را از نظر احتمال بدافزار بودن، آسیب‌پذیری‌ها و استحکام امنیتی تحلیل کنند، بدون آنکه به کد منبع آن نیاز داشته باشند.

از آنجا که این مدل مجازتر است، ما کار را با یک استقرار محدود و تدریجی برای فروشندگان امنیتی، سازمان‌ها و پژوهشگران معتبر آغاز می‌کنیم. دسترسی به مدل‌های آزادتر و دارای قابلیت‌های سایبری ممکن است با محدودیت‌هایی همراه باشد، به ویژه در موارد استفاده بدون دسترسی مانند عدم ذخیره داده⁠(در یک پنجره جدید باز می‌شود) (ZDR). این موضوع به‌ویژه برای توسعه‌دهندگان و سازمان‌هایی صادق است که از طریق پلتفرم‌های شخص ثالث به مدل‌های ما دسترسی پیدا می‌کنند؛ جایی که OpenAI ممکن است دید مستقیم کمتری نسبت به کاربر، محیط یا هدف درخواست داشته باشد. 

دسترسی به TAC فرآیندی ساده و بدون دردسر است:

• کاربران فردی می‌توانند هویت خود را د chatgpt.com/cyber⁠(در یک پنجره جدید باز می‌شود) تأیید کنند. 
• سازمان‌ها می‌توانند از طریق نماینده OpenAI خود برای تیمشان درخواست دسترسی مطمئن⁠ ثبت کنند. 

تمام مشتریانی که از طریق این فرایند تأیید شوند، به نسخه‌هایی از مدل‌های موجود دسترسی پیدا خواهند کرد که اصطکاک کمتری در ارتباط با تدابیر حفاظتی که ممکن است در برابر فعالیت‌های سایبری دومنظوره فعال شوند، دارند و به آن‌ها اجازه می‌دهند همچنان از آموزش امنیت، برنامه‌نویسی دفاعی و پژوهش مسئولانه درباره آسیب‌پذیری‌ها پشتیبانی کنند. مشتریانی که از پیش در TAC هستند و مایل‌اند برای اثبات اینکه مدافعان مشروع سایبری هستند احراز هویت بیشتری انجام دهند، می‌توانند علاقه‌مندی خود را⁠(در یک پنجره جدید باز می‌شود) به سطوح دسترسی بیشتر، از جمله درخواست دسترسی به GPT‑5.4‑Cyber، اعلام کنند.

دفاع‌های امنیت سایبری ما نتیجه ماه‌ها بهبود تدریجی و مداوم است. ما معتقدیم که دسته‌ای از تدابیر حفاظتی که امروزه به کار گرفته می‌شوند، ریسک سایبری را به اندازه کافی کاهش می‌دهند تا از استقرار گسترده مدل‌های کنونی پشتیبانی کنند. ما انتظار داریم نسخه‌هایی از این تدابیر حفاظتی برای مدل‌های قدرتمندتر آینده کافی باشند، در حالی که مدل‌هایی که به طور خاص برای کارهای امنیت سایبری آموزش دیده‌اند و با محدودیت‌های کمتری طراحی شده‌اند، به استقرارهای محدودکننده‌تر و کنترل‌های مناسب‌تری نیاز دارند.

در بلندمدت، برای اطمینان از تداوم کفایت ایمنی هوش مصنوعی در امنیت سایبری، انتظار می‌رود که برای مدل‌های آینده، که قابلیت‌هایشان به‌سرعت حتی از بهترین مدل‌های هدف‌محورِ امروز نیز فراتر خواهد رفت، به دفاع‌های گسترده‌تری نیاز باشد.