پرش به محتوای اصلی
OpenAI

۱۹ آذر ۱۴۰۴

امنیت

تقویت تاب‌آوری سایبری همزمان با پیشرفت قابلیت‌های هوش مصنوعی

با توانمندتر شدن مدل‌های ما در حوزه امنیت سایبری، در حال سرمایه‌گذاری برای تقویت آن‌ها، افزودن لایه‌های حفاظتی و همکاری با کارشناسان امنیتی در سطح جهان هستیم.

در حال بارگذاری…

قابلیت‌های سایبری در مدل‌های هوش مصنوعی به‌سرعت در حال پیشرفت هستند و مزایای قابل‌توجهی برای دفاع سایبری به همراه دارند، اما در عین حال خطرات جدید استفادهٔ دوگانه‌ای نیز ایجاد می‌کنند که باید با دقت مدیریت شوند. برای مثال، قابلیت‌های ارزیابی‌شده از طریق چالش‌های تصرف پرچم (CTF) از ۲۷٪ در GPT‑5(در یک پنجره جدید باز می‌شود) در اوت ۲۰۲۵ به ۷۶٪ در GPT‑5.1‑Codex‑Max(در یک پنجره جدید باز می‌شود) در نوامبر ۲۰۲۵ بهبود یافته‌اند.

انتظار داریم مدل‌های هوش مصنوعی آینده نیز این مسیر را ادامه دهند؛ به همین منظور، ما در حال برنامه‌ریزی و ارزیابی بر این اساس هستیم که هر مدل جدید می‌تواند به سطوح «بالا» از توانمندی در حوزه امنیت سایبری دست یابد، همان‌طور که در چارچوب آمادگی(در یک پنجره جدید باز می‌شود) ما سنجیده می‌شود منظور ما از این عبارت، مدل‌هایی است که یا می‌توانند اکسپلویت‌های از راه دورِ روز-صفرِ عملیاتی را علیه سامانه‌های با دفاع مناسب توسعه دهند، یا به‌طور معناداری به عملیات پیچیده و پنهان‌کارانهٔ نفوذ سازمانی یا صنعتی با هدف ایجاد اثرات در دنیای واقعی کمک کنند. این مطلب توضیح می‌دهد که چگونه درباره سازوکارهای حفاظتی برای مدل‌هایی که به این سطوح از قابلیت می‌رسند فکر می‌کنیم و اطمینان حاصل می‌کنیم که آن‌ها در عین محدود کردن سوءاستفاده، به‌طور معناداری به مدافعان کمک کنند.

هم‌زمان با پیشرفت این قابلیت‌ها، OpenAI در تقویت مدل‌های خود برای وظایف امنیت سایبری دفاعی و ایجاد ابزارهایی سرمایه‌گذاری می‌کند که به مدافعان امکان می‌دهد فرایندهای کاری مانند ممیزی کد و رفع آسیب‌پذیری‌ها را آسان‌تر انجام دهند. هدف ما این است که مدل‌ها و محصولات ما برای مدافعانی که اغلب از نظر تعداد و منابع در مضیقه هستند، مزایای قابل‌توجهی داشته باشند.

مانند دیگر حوزه‌های دارای استفاده دوگانه، گردش‌کارهای سایبری دفاعی و تهاجمی اغلب بر همان دانش و تکنیک‌های زیربنایی متکی هستند. ما در اقدامات حفاظتی سرمایه‌گذاری می‌کنیم تا کمک کنیم اطمینان حاصل شود که این قابلیت‌های قدرتمند در درجه نخست به کاربردهای دفاعی نفع می‌رسانند و موجب تقویت استفاده‌های مخرب نمی‌شوند. امنیت سایبری تقریباً همه حوزه‌ها را دربر می‌گیرد، و این یعنی نمی‌توانیم تنها به یک دسته واحد از تدابیر حفاظتی—مانند محدود کردن دانش یا صرفاً استفاده از دسترسیِ تأییدشده—تکیه کنیم، بلکه در عوض به رویکردی مبتنی بر دفاع چندلایه نیاز داریم که ریسک را متعادل می‌کند و به کاربران اختیار می‌دهد. در عمل، این یعنی شکل‌دهی به نحوه دسترسی به قابلیت‌ها، هدایت و به‌کارگیری آن‌ها به‌گونه‌ای که مدل‌های پیشرفته امنیت را تقویت کنند، نه اینکه موانع سوءاستفاده را کاهش دهند.

ما این کار را نه تلاشی مقطعی، بلکه یک سرمایه‌گذاری مستمر و بلندمدت برای فراهم کردن مزیت برای مدافعان و تقویت مداوم وضعیت امنیتی زیرساخت‌های حیاتی در سراسر اکوسیستم گسترده‌تر می‌دانیم.

تعدیل کاربری‌های مخرب

مدل‌های ما برای عملکرد ایمن طراحی و آموزش داده شده‌اند و با پشتیبانی سامانه‌های پیش‌فعال، سوءاستفاده سایبری را شناسایی و به آن پاسخ می‌دهند. ما به‌طور مداوم این تدابیر حفاظتی را هم‌زمان با تغییر قابلیت‌های ما و چشم‌انداز تهدید، پالایش می‌کنیم. در حالی که هیچ سیستمی نمی‌تواند بدون آنکه به‌طور جدی بر کاربردهای دفاعی تأثیر بگذارد و از سوءاستفاده در امنیت سایبری به‌طور کامل جلوگیری کند، راهبرد ما این است که از طریق یک مجموعه ایمنی چندلایه خطر را کاهش دهیم.

بر مبنای این رویکرد، ما از یک رویکرد دفاع عمقی استفاده می‌کنیم که بر ترکیبی از کنترل‌های دسترسی، سخت‌سازی زیرساخت، کنترل‌های خروجی، و نظارت متکی است. ما این اقدامات را با سامانه‌های شناسایی و پاسخ، و برنامه‌های اختصاصی اطلاعات تهدید و مدیریت ریسک‌های داخلی تکمیل می‌کنیم تا تهدیدات قریب‌الوقوع به‌سرعت شناسایی و متوقف شوند. این تدابیر حفاظتی به‌گونه‌ای طراحی شده‌اند که همگام با چشم‌انداز تهدیدات تکامل یابند. ما تغییر را امری اجتناب‌ناپذیر می‌دانیم و به گونه‌ای می‌سازیم تا بتوانیم به‌سرعت و به‌درستی سازگار شویم.

بر اساس این پایه:

  • آموزش مدل برای امتناع از درخواست‌های مضر یا پاسخ‌گویی ایمن به آن‌ها، در حالی که برای موارد استفاده آموزشی و دفاعی مفید باقی بماند: ما در حال آموزش مدل‌های پیشرو خود هستیم تا از درخواست‌هایی که سوءاستفاده سایبری آشکار را ممکن می‌کنند امتناع ورزند یا به‌صورت ایمن به آن‌ها پاسخ دهند، و در عین حال برای موارد استفاده مشروعِ دفاعی و آموزشی حداکثر مفید باقی بمانند.
  • سامانه‌های شناسایی: ما پایش سامانه‌ای گسترده را در محصولاتی که از مدل‌های پیشرو استفاده می‌کنند، برای شناسایی فعالیت‌های سایبری بالقوه مخرب پالایش و حفظ می‌کنیم. هنگامی که فعالیتی ناایمن به نظر برسد، ممکن است خروجی را مسدود کنیم، اعلان‌ها را به مدل‌های ایمن‌تر یا کم‌توان‌تر هدایت کنیم، یا برای اعمال محدودیت اقدام کنیم. اقدامات اجرایی ما ترکیبی از بازبینی خودکار و انسانی است که با عواملی مانند الزامات قانونی، شدت و تکرار رفتار هدایت می‌شود. ما همچنین از نزدیک با توسعه‌دهندگان و مشتریان سازمانی همکاری می‌کنیم تا بر سر استانداردهای ایمنی توافق کنیم و با مسیرهای شفاف برای ارجاع، استفاده مسئولانه را ممکن سازیم.
  • تیم قرمز سرتاسری: ما با سازمان‌های متخصص در تیم قرمز همکاری می‌کنیم تا اقدامات کاهشی ایمنی خود را ارزیابی کرده و بهبود دهیم. وظیفهٔ آن‌ها این است که با عمل کردن به‌صورت سرتاسری، تلاش کنند درست مشابه یک مهاجم مصمم و برخوردار از منابع کافی، از همهٔ سازوکارهای دفاعی ما عبور کنند. این به ما کمک می‌کند شکاف‌ها را در مراحل اولیه شناسایی کنیم و کل سامانه را تقویت کنیم.

ابتکارهای اکوسیستم برای تقویت تاب‌آوری سایبری 

OpenAI در به‌کارگیری زودهنگام هوش مصنوعی برای موارد استفاده دفاعیِ امنیت سایبری سرمایه‌گذاری کرده است و تیم ما از نزدیک با متخصصان جهانی هماهنگ است تا هم مدل‌های ما و هم کاربرد آن‌ها را ارتقا دهد. ما برای جامعه جهانی متخصصان امنیت سایبری که سخت‌کوشانه تلاش می‌کنند جهان دیجیتال ما را امن‌تر کنند ارزش قائلیم و متعهد به ارائه ابزارهای قدرتمندی هستیم که از امنیت دفاعی پشتیبانی می‌کنند. همزمان با اجرای تدابیر حفاظتی جدید، ما به همکاری با جامعه امنیت سایبری ادامه خواهیم داد تا درک کنیم هوش مصنوعی در کجا می‌تواند به‌طور مؤثر تاب‌آوری را تقویت کند و در کجا تدابیر حفاظتی سنجیده بیشترین اهمیت را دارند.

در کنار این همکاری‌ها، ما در حال ایجاد مجموعه‌ای از اقدامات هستیم که برای کمک به مدافعان جهت عمل سریع‌تر، مبتنی کردن سازوکارهای حفاظتی‌مان بر نیازهای دنیای واقعی، و تسریع اصلاح مسئولانه در مقیاس گسترده طراحی شده‌اند.

برنامه‌های دسترسی مطمئن برای دفاع سایبری

ما به‌زودی برنامه‌ای برای دسترسی مطمئن معرفی خواهیم کرد که در آن ارائه دسترسی سطح‌بندی‌شده به قابلیت‌های پیشرفته‌تر در جدیدترین مدل‌های خود را برای کاربران و مشتریان واجد شرایط فعال در حوزه دفاع سایبری بررسی می‌کنیم. ما همچنان در حال بررسی مرز مناسب قابلیت‌هایی هستیم که می‌توانیم دسترسی گسترده به آن‌ها فراهم کنیم و آن‌هایی که به محدودیت‌های سطح‌بندی‌شده نیاز دارند؛ این موضوع ممکن است بر طراحی آینده این برنامه تأثیر بگذارد. هدف ما این است که این برنامه دسترسی مطمئن، سنگ‌بنایی برای ایجاد یک اکوسیستم مقاوم باشد.

گسترش ظرفیت دفاعی با Aardvark

Aardvark، پژوهشگر امنیتی عامل محور ما که به توسعه‌دهندگان و تیم‌های امنیتی کمک می‌کند تا آسیب‌پذیری‌ها را در مقیاس وسیع شناسایی و رفع کنند، اکنون در نسخهٔ بتای خصوصی در دسترس است. این ابزار پایگاه‌های کد را برای شناسایی آسیب‌پذیری‌ها اسکن می‌کند و وصله‌هایی پیشنهاد می‌دهد که نگه‌دارندگان بتوانند آن‌ها را به‌سرعت به‌کار بگیرند. این مدل پیش‌تر با استدلال بر روی کل پایگاه‌های کد، CVEs جدیدی را در نرم‌افزار متن‌باز شناسایی کرده است. ما قصد داریم پوشش رایگان را برای محل نگهداری متن‌باز غیرتجاری منتخب ارائه دهیم تا به امنیت اکوسیستم نرم‌افزارهای متن‌باز و زنجیره تأمین کمک کنیم. برای شرکت در آن، اینجا درخواست دهید.

شورای خطر مرزی

ما «شورای خطر مرزی» را ایجاد خواهیم کرد؛ یک گروه مشاوره که مدافعان باتجربه فضای سایبری و متخصصان امنیتی را در همکاری نزدیک با تیم‌های ما قرار خواهد داد. این شورا کار خود را با تمرکز بر امنیت سایبری آغاز خواهد کرد و در آینده به دیگر حوزه‌های قابلیت‌های پیشرو گسترش خواهد یافت. اعضا درباره مرز میان قابلیت مفید و مسئولانه و سوءاستفاده بالقوه مشاوره خواهند داد، و این آموخته‌ها مستقیماً ارزیابی‌ها و تدابیر حفاظتی ما را شکل خواهند داد. به زودی اطلاعات بیشتری درباره شورا به اشتراک خواهیم گذاشت. 

توسعه درک مشترک با صنعت درباره مدل‌های تهدید

در نهایت، پیش‌بینی می‌کنیم که سوءاستفاده سایبری از هر مدل پیشرویی در صنعت ممکن باشد. برای رسیدگی به این موضوع، ما از طریق Frontier Model Forum، یک سازمان غیرانتفاعی با حمایت آزمایشگاه‌های پیشرو هوش مصنوعی و شرکای صنعتی، با دیگر آزمایشگاه‌های پیشرو همکاری می‌کنیم تا درک مشترکی از مدل‌های تهدید و بهترین شیوه‌ها ایجاد کنیم. در این زمینه، مدل‌سازی تهدید با شناسایی این‌که قابلیت‌های هوش مصنوعی چگونه می‌توانند به سلاح تبدیل شوند، گلوگاه‌های حیاتی برای عامل‌های تهدید مختلف در کجا وجود دارند، و مدل‌های پیشرو چگونه ممکن است به‌طور معناداری موجب ارتقا شوند، به کاهش ریسک کمک می‌کند. این همکاری با هدف ایجاد درکی منسجم و سراسری در سطح اکوسیستم از عاملان تهدید و مسیرهای حمله انجام می‌شود تا آزمایشگاه‌ها، نگه‌دارندگان و مدافعان بتوانند راهکارهای کاهشی خود را بهتر بهبود دهند و اطمینان حاصل کنند که بینش‌های امنیتی حیاتی به‌سرعت در سراسر اکوسیستم منتشر می‌شوند. ما همچنین با تیم‌های خارجی همکاری می‌کنیم تا ارزیابی‌های امنیت سایبری(در یک پنجره جدید باز می‌شود) را توسعه دهیم. امیدواریم اکوسیستمی از ارزیابی‌های مستقل بتواند بیش از پیش به ایجاد درکی مشترک از قابلیت‌های مدل کمک کند.

در مجموع، این تلاش‌ها نشان‌دهندهٔ تعهد بلندمدت ما به تقویت جنبهٔ دفاعی اکوسیستم است. با توانمندتر شدن مدل‌ها، هدف ما این است که کمک کنیم این قابلیت‌ها به اهرمی واقعی برای مدافعان تبدیل شوند—اهرمی که بر نیازهای دنیای واقعی تکیه دارد، با نظر متخصصان شکل می‌گیرد و با دقت به‌کار گرفته می‌شود. در کنار این فعالیت‌ها، قصد داریم ابتکارهای دیگر و همچنین کمک‌هزینه‌های امنیت سایبری را بررسی کنیم تا به شناسایی ایده‌های نوآورانه‌ای کمک کنیم که ممکن است از مسیرهای سنتی به‌دست نیایند، و نیز راهکارهای جسورانه و خلاقانه را از سراسر دانشگاه‌ها، صنعت و جامعه متن‌باز گردآوری کنیم در مجموع، این کاری مداوم است و انتظار داریم هم‌زمان که می‌آموزیم چه چیزی به‌طور مؤثرتری امنیتِ دنیای واقعی را پیش می‌برد، به تکامل و توسعهٔ این برنامه‌ها ادامه دهیم.

نویسنده

OpenAI

به خواندن ادامه بده

مشاهده همه
codex windows > art card
اجرای Codex در ویندوز» / «راه‌اندازی Codex در Windows

مهندسی

Frame
پاسخ ما به حمله زنجیره تأمین TanStack npm

شرکت

Running Codex safely at OpenAI > Cover Image
اجرای ایمن Codex در OpenAI

امنیت