Luotettava pääsy seuraavan sukupolven kyberpuolustukseen

Laajennamme Trusted Access for Cyber (TAC) -ohjelmaamme kattamaan tuhansia vahvistettuja yksittäisiä tietoturva-asiantuntijoita ja satoja tiimejä, jotka vastaavat kriittisen ohjelmiston suojaamisesta. Olemme jo vuosien ajan kehittäneet kyberturvallisuusohjelmaa, joka perustuu demokratisoituun pääsyyn, vaiheittaiseen käyttöönottoon ja ekosysteemin kestävyyteen. Valmistaudumme OpenAI:n tulevien kuukausien aikana julkaistaviin yhä tehokkaampiin malleihin hienosäätämällä omia mallejamme erityisesti puolustaviin kyberturvallisuuskäyttötarkoituksiin. Aloitamme tänään GPT‑5.4:n muunnoksella, joka on koulutettu sallivaksi kyberkäytössä: GPT‑5.4‑Cyber. Tässä artikkelissa kerromme, kuinka aiomme soveltaa lähestymistapaamme, jossa kyberpuolustuksen laajentaminen tapahtuu samassa tahdissa mallien ominaisuuksien kehittymisen kanssa, ohjaamaan tulevien versioiden testausta ja käyttöönottoa.

Tekoälyn laajentunut käyttö tehostaa puolustajien – eli järjestelmien, tietojen ja käyttäjien turvallisuudesta vastaavien – toimintaa ja auttaa heitä havaitsemaan ja korjaamaan ongelmat nopeammin digitaalisessa infrastruktuurissa, johon kaikki luottavat. Samoin hyökkääjät, jotka pyrkivät aiheuttamaan vahinkoa, käyttävät⁠tekoälyä. Olemme valmistautuneet tähän. Vuodesta 2023 lähtien olemme tukeneet tietoturvan puolustajia kyberturvallisuusapurahaohjelmamme⁠ kautta ja vahvistaneet suojatoimia valmiuskehyksemme⁠ avulla. Samana vuonna aloimme arvioida malliemme kyberkyvykkyyksiä, ja vuonna 2025 aloimme sisällyttää kyberturvallisuuteen liittyviä suojatoimia⁠(avautuu uudessa ikkunassa) mallien käyttöönottoihin⁠. Aiemmin tänä vuonna laajensimme tukeamme puolustajille julkaisemalla Codex Securityn⁠, joka auttaa tunnistamaan ja korjaamaan haavoittuvuuksia laajamittaisesti. Lähestymistapaamme tähän kyvykkyyksien jatkuvaan kehittämiseen ohjaavat kolme periaatetta:

• Demokratisoitu käyttöoikeus: tavoitteenamme on tarjota nämä työkalut mahdollisimman laajasti saataville ja samalla estää niiden väärinkäyttö. Suunnittelemme mekanismeja, joilla vältetään mielivaltaiset päätökset siitä, kuka saa oikeutetun käyttöoikeuden ja kuka ei. Tämä tarkoittaa selkeiden ja objektiivisten kriteerien ja menetelmien – kuten tiukan asiakastuntemuksen (KYC) ja henkilöllisyyden todentamisen – käyttöä sen määrittämiseksi, kuka voi käyttää⁠ edistyneempiä toimintoja, sekä näiden prosessien automatisointia ajan myötä. Viime kädessä tavoitteenamme on tarjota edistyksellisiä puolustusvalmiuksia sekä suurille että pienille laillisille toimijoille, mukaan lukien ne, jotka vastaavat kriittisen infrastruktuurin, julkisten palvelujen ja ihmisten jokapäiväisessä elämässä tarvitsemien digitaalisten järjestelmien suojelusta.
• Iteratiivinen käyttöönotto: Opimme eniten ottamalla nämä järjestelmät varovasti käyttöön⁠ ja parantamalla niitä ajan myötä. Kun ymmärrämme paremmin sekä niiden mahdollisuudet että riskit, päivitämme mallejamme ja turvajärjestelmiämme vastaavasti. Tähän sisältyy eri mallien erityisten etujen ja riskien ymmärtäminen, vastustuskyvyn parantaminen jailbreak-hyökkäyksiä ja muita haitallisia hyökkäyksiä vastaan sekä puolustuskyvyn parantaminen – samalla kun haittoja pyritään lieventämään.
• Panostamme ekosysteemin kestävyyteen: Tuemme ja vauhditamme tietoturvan puolustajien yhteisöä tarjoamalla luotettavia pääsyreittejä, kohdennettuja apurahoja⁠, osallistumalla avoimen lähdekoodin tietoturva-aloitteisiin⁠(avautuu uudessa ikkunassa) sekä hyödyntämällä teknologioita, kuten Codex Security⁠, jotka auttavat tietoturva-alan toimijoita löytämään ja korjaamaan haavoittuvuuksia entistä nopeammin. 

Strategiamme kyberturvallisuuden kestävyyden ja puolustuskyvyn tehostamiseksi

Olemme jo vuosien ajan toteuttaneet kyberturvallisuusstrategiaa, jossa panostetaan tutkimukseen, ehkäistään väärinkäyttöä ja nopeutetaan puolustajien toimintaa. Mallien kyvykkyyksien kehittyessä olemme laajentaneet ohjelmiamme kohti näitä tavoitteita, jotka perustuvat seuraaviin vakaumuksiin: 

• Kyberriski on jo täällä ja yleistyy, mutta voimme toimia. Digitaalinen infrastruktuuri on ollut haavoittuvainen jo vuosien ajan ennen kuin edistynyt tekoäly edes tuli kuvaan⁠(avautuu uudessa ikkunassa). Nykyiset mallit auttavat jo havaitsemaan haavoittuvuuksia, tekemään johtopäätöksiä koodikantojen perusteella ja tukemaan kybertyönkulun keskeisiä osia, ja kyberuhkien tekijät kokeilevat uusia tekoälypohjaisia lähestymistapoja. Olemme havainneet, että kehittyneet verkostot tuottavat yhä tehokkaampia tuloksia hyödyntämällä olemassa olevissa malleissa entistä enemmän laskentatehoa testausvaiheessa. Tämä tarkoittaa, että suojatoimenpiteitä ei voida lykätä odottaen jonkin tulevan raja-arvon saavuttamista.
  
• Laajenna käyttöoikeuksia sen mukaan, kuka käyttää näitä järjestelmiä ja miten niitä käytetään. Kybervalmiudet ovat luonteeltaan kaksikäyttöisiä, joten riskiä ei voida määritellä pelkästään mallin perusteella. Se riippuu myös käyttäjästä, hänen ympärillään olevista luottamussignaaleista⁠(avautuu uudessa ikkunassa) sekä hänelle myönnetyn käyttöoikeuden tasosta.
  • Laaja pääsy yleisiin malleihin, joihin sovelletaan suojatoimia, voi toimia rinnalla riskialttiimpia toimintoja koskevien tarkempien valvontatoimenpiteiden kanssa, joita tukevat tiukempi todentaminen, selkeämmät aikomuksen ilmaisut ja parempi näkyvyys käyttöön.
  • Jotta vastuullinen käyttö voidaan ottaa laajamittaisesti käyttöön, tarvitsemme järjestelmiä, jotka pystyvät vahvistamaan luotettavien käyttäjien ja käyttötapausten luotettavuuden entistä automatisoidummin ja objektiivisemmin. Tämä antaa meille mahdollisuuden laajentaa pääsyä näytön ja todellisten luottamussignaalien perusteella sen sijaan, että tukeudumme manuaalisiin päätöksiin. Emme katso, että olisi käytännöllistä tai asianmukaista päättää keskitetysti, kuka saa puolustaa itseään. Sen sijaan tavoitteenamme on tarjota mahdollisuudet mahdollisimman monelle oikeutetulle puolustajalle siten, että pääsy perustuu todentamiseen, luotettavuussignaaleihin ja vastuullisuuteen.
    
• Puolustusta tulisi jatkuvasti mukauttaa ominaisuuksien mukana. Kun mallien ominaisuudet kehittyvät, suojatoimien on skaalauduttava niiden mukana. Olemme nähneet agenttipohjaisessa koodauksessa vakaata kehitystä, joka vaikuttaa suoraan kyberturvallisuuteen, ja olemme mukauttaneet lähestymistapaamme sen mukaisesti.
  • Aloitimme kyberturvallisuuteen liittyvän turvallisuuskoulutuksen GPT‑5.2:lla, ja laajensimme sitä lisäsuojatoimilla GPT‑5.3‑Codexin ja GPT‑5.4:n myötä, jossa luokittelimme mallin myös ”korkean” kybervalmiustason malliksi valmiuskehyksemme mukaisesti. Samalla vahvistimme tukea tietoturvan puolustajille: käynnistimme 10 miljoonan dollarin kyberturvallisuusapurahaohjelman⁠, tavoitimme yli 1 000 avoimen lähdekoodin projektia Codex for Open Source⁠(avautuu uudessa ikkunassa) -palvelun avulla, joka tarjoaa ilmaisia tietoturvatarkistuksia, ja jatkoimme Codex Securityn kehittämistä.
  • Codex Security, joka julkaistiin yksityisenä beetaversiona kuusi kuukautta sitten ja tutkimusversiona aiemmin tänä vuonna⁠, valvoo automaattisesti koodikantoja, tarkistaa ongelmat ja ehdottaa korjauksia. Kun mallit ovat kehittyneet, myös järjestelmän tarkkuus ja hyödyllisyys ovat parantuneet. Viimeaikaisen julkaisun jälkeen Codex Security on ollut mukana korjaamassa yli 3 000 kriittistä ja vakavaa haavoittuvuutta sekä monia muita vähäisemmän vakavuusasteen löydöksiä koko ekosysteemissä.
  • Näiden julkaisujen myötä olemme myös kehittäneet tapaa, jolla mallit käsittelevät arkaluonteisia pyyntöjä: olemme tarkentaneet kieltäytymisen rajoja ja laajentaneet luotettavien käyttöoikeusohjelmien saatavuutta TAC:n kaltaisten ohjelmien kautta.
    
• Ohjelmistokehityksestä on tehtävä turvallisempaa. Vahvin ekosysteemi on sellainen, jossa tietoturvaongelmat tunnistetaan, todennetaan ja korjataan jatkuvasti ohjelmistojen kehityksen aikana. Integroimalla edistyneitä koodausmalleja (malli) ja agenttikyvykkyyksiä kehittäjien työnkulkuihin voimme tarjota kehittäjille välitöntä ja käytännöllistä palautetta heidän rakentaessaan, siirtäen tietoturvan satunnaisista auditoinneista ja staattisista virheluetteloista kohti jatkuvaa, konkreettista riskien vähentämistä.
  

Haluamme tukea tietoturvavastaavia tarjoamalla heille laajan pääsyn uusimpiin teknologioihin, mukaan lukien kyberturvallisuutta varten räätälöidyt mallit. Helmikuussa esittelimme Trusted Access for Cyber⁠ (TAC) -ohjelman, jossa on sekä yksilöille tarkoitettu automatisoitu henkilöllisyyden vahvistus kyberturvallisuuteen liittyvien tehtävien suojatoimien helpottamiseksi että yhteistyö rajatun joukon organisaatioiden kanssa kybertoimintoihin sallivampien mallien osalta.

Tänään laajennamme tätä ohjelmaa ottamalla käyttöön uusia käyttöoikeustasoja käyttäjille, jotka ovat halukkaita tekemään yhteistyötä OpenAI:n kanssa todentaakseen itsensä kyberturvallisuuden puolustajiksi. Korkeimman tason asiakkaat saavat käyttöönsä GPT‑5.4‑Cyber‑mallin, joka on erityisesti hienosäädetty tarjoamaan lisää kyberkykyjä ja jossa on vähemmän käyttörajoituksia. Tämä on GPT‑5.4‑versio, joka madaltaa laillisen kyberturvallisuustyön hylkäysrajaa ja tarjoaa uusia ominaisuuksia edistyneisiin puolustuksellisiin työnkulkuihin, mukaan lukien binäärikoodin käänteissuunnitteluominaisuudet, joiden avulla tietoturva-ammattilaiset voivat analysoida käännettyä ohjelmistoa haittaohjelmien, haavoittuvuuksien ja tietoturvan kestävyyden varalta ilman pääsyä sen lähdekoodiin.

Koska tämä malli on joustavampi, aloitamme sen käyttöönoton rajoitetusti ja vaiheittain valikoiduille tietoturvatoimittajille, organisaatioille ja tutkijoille. Avoimiin ja verkkokäyttöön soveltuviin malleihin pääsyyn voi liittyä rajoituksia, etenkin silloin, kun kyse on näkymättömistä käyttötavoista, kuten Zero-Data Retention⁠(avautuu uudessa ikkunassa) (ZDR). Tämä pätee erityisesti kehittäjiin ja organisaatioihin, jotka käyttävät mallejamme kolmannen osapuolen alustojen kautta, jolloin OpenAI:lla voi olla vähemmän suoraa näkyvyyttä käyttäjään, ympäristöön tai pyynnön tarkoitukseen. 

TAC-palveluun pääseminen on helppoa:

• Yksittäiset käyttäjät voivat vahvistaa henkilöllisyytensä osoitteessa chatgpt.com/cyber⁠(avautuu uudessa ikkunassa). 
• Yritykset voivat pyytää luotettavaa pääsyä⁠ tiimilleen OpenAI-edustajansa kautta. 

Kaikki tässä prosessissa hyväksytyt asiakkaat saavat käyttöönsä olemassa olevien mallien versioita, joissa suojatoimien toimintaa on helpotettu sellaisten suojatoimien osalta, jotka saattavat aktivoitua kaksikäyttöisen kybertoiminnan yhteydessä. Näin he voivat jatkaa turvallisuuskoulutuksen, puolustavan ohjelmoinnin ja vastuullisen haavoittuvuustutkimuksen tukemista. TAC-palvelun nykyiset asiakkaat, jotka haluavat vahvistaa asemansa laillisina kyberturvallisuuden puolustajina, voivat ilmaista kiinnostuksensa⁠(avautuu uudessa ikkunassa) laajempia käyttöoikeustasoja kohtaan, mukaan lukien pääsyn pyytäminen GPT‑5.4‑Cyber‑palveluun.

Kyberturvallisuuspuolustuksemme ovat monien kuukausien vaiheittaisen kehitystyön tulos. Uskomme, että nykyisin käytössä olevat suojatoimenpiteet vähentävät kyberriskejä riittävästi, jotta nykyisten mallien laajamittainen käyttöönotto on perusteltua. Oletamme, että näiden suojatoimenpiteiden eri versiot riittävät tuleville tehokkaammille malleille, kun taas kyberturvallisuustyöhön nimenomaisesti koulutetut ja sallivammiksi suunnitellut mallit edellyttävät rajoittavampia käyttöönottoja ja asianmukaisia valvontatoimia.

Pitkällä aikavälillä tekoälyturvallisuuden jatkuvan riittävyyden varmistaminen kyberturvallisuuden alalla edellyttää laajempia puolustuskeinoja tuleville malleille, joiden kyvykkyydet ylittävät nopeasti jopa tämän päivän parhaat, juuri tähän tarkoitukseen kehitetyt mallit.