Megbízható hozzáférés a kibervédelem új korszakához

Kiterjesztjük a Trusted Access for Cyber (TAC) programunkat több ezer ellenőrzött egyéni védelmezőre és több száz csapatra, amelyek a kritikus szoftverek védelméért felelnek. Évek óta a hozzáférés demokratizálásának, az iteratív telepítésnek és az ökoszisztéma ellenálló képességének elveire alapozva építjük kibervédelmi programunkat. Az OpenAI következő hónapokban érkező, egyre fejlettebb modelljeire felkészülve modelljeinket kifejezetten a védekező kiberbiztonsági felhasználási esetek támogatására hangoljuk, kezdve a GPT‑5.4 egy kiberengedékenyre tanított változatával: a GPT‑5.4‑Cyberrel. Ebben a bejegyzésben bemutatjuk, hogyan várjuk, hogy a kibervédelem modell képességeinek növekedésével párhuzamos bővítésére irányuló megközelítésünk iránymutatásként szolgáljon a jövőbeli kiadások teszteléséhez és bevezetéséhez.

Az AI fokozatos alkalmazása felgyorsítja a védők munkáját – azokét, akik a rendszerek, adatok és felhasználók biztonságáért felelnek –, lehetővé téve számukra, hogy gyorsabban találják meg és javítsák ki a problémákat a mindenki által használt digitális infrastruktúrában. Hasonlóképpen, az AI-t az ártó szándékú támadók is használják⁠. Erre felkészültünk. 2023 óta a Kiberbiztonsági Támogatási Programunk⁠ révén támogatjuk a védelmi szakembereket, valamint a Felkészültségi keretrendszerünk⁠ révén megerősítettük a védelmi intézkedéseket. Ugyanabban az évben elkezdtük értékelni modelljeink kiberképességeit, és 2025-ben elkezdtünk kiberspecifikus biztosítékokat⁠(új ablakban nyílik meg) beépíteni a modelltelepítésekbe⁠. Az év elején tovább bővítettük a védelmi szakemberek támogatását a Codex Security⁠ bevezetésével, hogy segítsünk a sebezhetőségek nagy léptékű azonosításában és kijavításában. A képességek e folyamatos fejlődésével kapcsolatos megközelítésünket három alapelv vezérli:

• Demokratizált hozzáférés: Célunk, hogy ezeket az eszközöket a lehető legszélesebb körben elérhetővé tegyük, miközben megelőzzük a visszaéléseket. Olyan mechanizmusokat tervezünk, amelyek elkerülik annak önkényes eldöntését, hogy ki kap hozzáférést jogszerű használatra, és ki nem. Ez azt jelenti, hogy egyértelmű, objektív kritériumokat és módszereket kell alkalmazni – például erős KYC-t és személyazonosság-ellenőrzést – annak meghatározására, ki férhet hozzá⁠ a fejlettebb képességekhez, valamint e folyamatok idővel történő automatizálására. Végső soron az a célunk, hogy a fejlett védekezési képességeket minden méretű legitim szereplő számára elérhetővé tegyük, beleértve azokat is, akik a kritikus infrastruktúrák, a közszolgáltatások és azoknak a digitális rendszereknek a védelméért felelnek, amelyekre az emberek nap mint nap támaszkodnak.
• Iteratív bevezetés: A legtöbbet azáltal tanulunk, hogy ezeket a rendszereket körültekintően bevezetjük a világba⁠, és idővel továbbfejlesztjük őket. Ahogy egyre jobban megértjük azok képességeit és kockázatait, ennek megfelelően frissítjük modelljeinket és biztonsági rendszereinket. Ez magában foglalja az egyes modellek eltérő előnyeinek és kockázatainak megértését, a jailbreakekkel és más ellenséges támadásokkal szembeni ellenálló képesség javítását, valamint a védelmi képességek fejlesztését – miközben mérsékeljük a károkat. 
• Az ökoszisztéma ellenálló képességébe való befektetés: A biztonsági szakemberek közösségét megbízható hozzáférési lehetőségekkel, célzott támogatásokkal⁠, nyílt forráskódú biztonsági kezdeményezésekhez⁠(új ablakban nyílik meg) nyújtott hozzájárulásokkal, valamint olyan technológiákkal támogatjuk és gyorsítjuk fel, mint a Codex Security⁠, amelyek segítenek a biztonsági szakembereknek gyorsabban feltárni és kijavítani a sebezhetőségeket. 

Stratégiánk a kiberbiztonsági ellenálló képesség növelésére és a védelmi folyamatok gyorsítására

Évek óta kiberbiztonsági stratégiánk arra irányul, hogy kutatásba fektessünk, megelőzzük a visszaéléseket, és felgyorsítsuk a védelmezők munkáját. Ahogy a modell képességei fejlődtek, programjainkat e célok elérése érdekében bővítettük, amelyek a következő meggyőződésekre épülnek: 

• A kiberkockázat már itt van, és egyre gyorsabban növekszik, de cselekedhetünk. A digitális infrastruktúra már évekkel azelőtt sebezhető volt⁠(új ablakban nyílik meg), hogy a fejlett mesterséges intelligencia egyáltalán megjelent volna. A meglévő modellek ma már segíthetnek a sebezhetőségek felderítésében, a kódbázisok közötti összefüggések felismerésében, valamint a kiberbiztonsági munkafolyamat érdemi részeinek támogatásában. Eközben a fenyegető szereplők új, mesterséges intelligencia-alapú megközelítésekkel kísérleteznek. Láttuk, hogy a kifinomult keretrendszerek egyre erősebb képességeket hoznak elő azáltal, hogy a meglévő modellekkel a tesztelés során több számítási kapacitást használnak fel. Ez azt jelenti, hogy a védelmi intézkedések nem várhatnak egyetlen jövőbeli küszöbértékre sem.
  
• Bővítsd a hozzáférést annak alapján, hogy kik használják ezeket a rendszereket, és hogyan használják őket. A kiberképességek természetüknél fogva kettős felhasználásúak, ezért a kockázatot nem önmagában a modell határozza meg. Ez a felhasználótól, a körülötte lévő bizalmi jelektől⁠(új ablakban nyílik meg), valamint a számukra biztosított hozzáférés szintjétől is függ.
  • Az általános modellekhez való széles körű hozzáférés védelmi intézkedésekkel együtt is megférhet a magasabb kockázatú képességekre vonatkozó részletesebb irányítással, amit erősebb ellenőrzés, egyértelműbb szándékjelzések és jobb betekintés támogat.
  • A felelősségteljes használat széles körű lehetővé tételéhez olyan rendszerekre van szükségünk, amelyek automatizáltabb és objektívebb módon képesek ellenőrizni a megbízható felhasználókat és felhasználási eseteket. Ez lehetővé teszi számunkra, hogy a hozzáférést bizonyítékok és a bizalom valós jelei alapján bővítsük, a manuális döntésekre való támaszkodás helyett. Nem gondoljuk, hogy praktikus vagy helyénvaló lenne központilag eldönteni, ki védheti meg magát. Ehelyett célunk, hogy a lehető legtöbb legitim védő számára biztosítsunk hozzáférést, amely ellenőrzésen, megbízhatósági jelzéseken és elszámoltathatóságon alapul.
    
• A védelmi intézkedéseket folyamatosan a képességekhez kell igazítani. Ahogy a modellek képességei növekednek, a védelmi intézkedéseket is ennek megfelelően kell bővíteni. Folyamatos javulást tapasztaltunk az ágensalapú kódolás terén, ami közvetlen hatással van a kiberbiztonságra, és ennek megfelelően alakítottuk a megközelítésünket.
  • A kiberbiztonság-specifikus tréninget a GPT‑5.2‑vel kezdtük, majd további védelmi mechanizmusokkal bővítettük a GPT‑5.3‑Codex és a GPT‑5.4 segítségével, ahol a modellt a Felkészültségi keretrendszerünk szerint „magas” kiberképességűnek minősítettük. Ezzel párhuzamosan növeltük a védelmi szakemberek támogatását: elindítottunk egy 10 millió dolláros kiberbiztonsági támogatási programot⁠, a Codex for Open Source⁠(új ablakban nyílik meg) segítségével több mint 1000 nyílt forráskódú projektet értünk el, amely ingyenes biztonsági vizsgálatot biztosít, és tovább fejlesztettük a Codex Securityt.
  • A Codex Security, amely hat hónappal ezelőtt privát bétában, illetve az év elején⁠ kutatási előnézetként indult, automatikusan figyeli a kódalapokat, ellenőrzi a problémákat, és javításokat javasol. Ahogy a modellek fejlődtek, úgy javult a rendszer pontossága és hasznossága is. A közelmúltbeli indulás óta a Codex Security több mint 3000 kritikus és magas súlyosságú kijavított sebezhetőséghez járult hozzá, valamint az ökoszisztémában számos további, alacsonyabb súlyosságú kijavított megállapításhoz.
  • E kiadások során finomhangoltuk azt is, hogyan kezelik a modellek az érzékeny kéréseket. Finomhangoltuk az elutasítás határait, miközben bővítettük a megbízható hozzáférést az olyan programokon keresztül, mint a TAC (Trusted Access Control).
    
• Magát a szoftverfejlesztést is biztonságosabbá kell tenni. A legerősebb ökoszisztéma az, amely a szoftver fejlesztése során folyamatosan azonosítja, ellenőrzi és kijavítja a biztonsági problémákat. A fejlett kódoló modellek és ügynöki képességek fejlesztői munkafolyamatokba való integrálásával azonnali, közvetlenül hasznosítható visszajelzést adhatunk a fejlesztőknek már fejlesztés közben, a biztonságot az eseti auditok és statikus hibajegyzékek helyett a folyamatos, kézzelfogható kockázatcsökkentés felé mozdítva el.
  

A védelmi szakembereket szeretnénk megerősíteni azáltal, hogy széles körű hozzáférést biztosítunk az élvonalbeli képességekhez, beleértve a kiberbiztonságra szabott modelleket is. Februárban bevezettük az Megbízható hozzáférés a Cyberhez⁠ (TAC) programot, amely automatizált személyazonosság-ellenőrzéssel csökkenti a kiberbiztonsági feladatok biztosítékai által okozott súrlódást, és együttműködik egy korlátozott számú szervezettel a megengedőbb kiberbiztonsági modell érdekében.

Ma kibővítjük ezt a programot azzal, hogy további hozzáférési szinteket vezetünk be azoknak a felhasználóknak, akik hajlandók együttműködni az OpenAI-jal, hogy kiberbiztonsági védelmezőként igazolják magukat. A legmagasabb szinteken lévő ügyfelek hozzáférést kapnak a GPT‑5.4‑Cyberhez, egy olyan modellhez, amelyet kifejezetten további kiberképességekre hangoltak, és amely kevesebb korlátozással rendelkezik. Ez a GPT‑5.4 egy olyan változata, amely csökkenti az elutasítási küszöböt a legitim kiberbiztonsági munkákhoz, és új képességeket biztosít a fejlett védelmi munkafolyamatokhoz, beleértve a bináris visszafejtési képességeket, amelyek lehetővé teszik a biztonsági szakemberek számára, hogy a lefordított szoftvereket a forráskódhoz való hozzáférés nélkül elemezzék rosszindulatú programok, sebezhetőségek és biztonsági robusztusság szempontjából.

Mivel ez a modell megengedőbb, egy korlátozott, iteratív bevezetéssel kezdjük az ellenőrzött biztonsági szolgáltatók, szervezetek és kutatók körében. A megengedőbb és kiberképességekkel rendelkező modellekhez való hozzáférés bizonyos korlátozásokkal járhat, különösen a láthatóság nélküli felhasználási módok esetén, például a zéró adatmegőrzés⁠(új ablakban nyílik meg) (ZDR) kapcsán. Ez különösen igaz azokra a fejlesztőkre és szervezetekre, akik harmadik fél platformjain keresztül férnek hozzá modelljeinkhez, ahol az OpenAI kevésbé lát rá közvetlenül a felhasználóra, a környezetre vagy a kérés céljára. 

A TAC-hoz való hozzáférés megszerzése egyszerű:

• Az egyéni felhasználók a chatgpt.com/cyber⁠(új ablakban nyílik meg) oldalon igazolhatják a személyazonosságukat. 
• A vállalatok megbízható hozzáférést kérhetnek⁠ a csapatuk számára az OpenAI-képviselőjükön keresztül. 

Az ezen folyamat során jóváhagyott ügyfelek hozzáférést kapnak a meglévő modellek olyan verzióihoz, amelyeknél csökkentették a kettős felhasználású kibertevékenységre aktiválódó védelmi intézkedések által okozott akadályokat, lehetővé téve számukra a biztonsági oktatás, a védekező programozás és a felelős sebezhetőségi kutatás folytatását. A TAC-ban már részt vevő ügyfelek, akik hajlandóak további hitelesítést vállalni legitim kibervédőként, jelezhetik érdeklődésüket⁠(új ablakban nyílik meg) további hozzáférési szintek iránt, beleértve a GPT‑5.4‑Cyberhez való hozzáférés igénylését.

Kiberbiztonsági védelmünk több hónapnyi ismétlődő fejlesztés eredménye. Úgy véljük, hogy a jelenleg alkalmazott védelmi intézkedések köre kellő mértékben csökkenti a kiberkockázatot ahhoz, hogy támogassa a jelenlegi modellek széles körű bevezetését. Arra számítunk, hogy e védelmi intézkedések bizonyos változatai elegendőek lesznek a közelgő, nagyobb teljesítményű modellekhez, míg a kifejezetten kiberbiztonsági munkára betanított és engedékenyebbé tett modellek szigorúbb telepítési feltételeket és megfelelő kontrollokat igényelnek.

Hosszú távon, az AI-biztonság folyamatos fenntarthatóságának biztosítása érdekében a kiberbiztonság területén arra számítunk, hogy a jövőbeli modellekhez átfogóbb védelmi intézkedésekre lesz szükség, mivel ezek képességei gyorsan meghaladják majd még a ma elérhető legjobb, kifejezetten erre a célra tervezett modellekét is.