Akses tepercaya untuk era berikutnya dalam pertahanan siber

Kami sedang memperluas program Trusted Access for Cyber (TAC) kami kepada ribuan pelindung individu yang terverifikasi dan ratusan tim yang bertanggung jawab untuk melindungi perangkat lunak penting. Selama bertahun-tahun, kami telah membangun program pertahanan siber berdasarkan prinsip akses yang merata, penerapan iteratif, dan ketahanan ekosistem. Sebagai persiapan untuk menangani model OpenAI yang akan semakin canggih dalam beberapa bulan ke depan, kami menyempurnakan model kami secara khusus untuk mendukung kasus penggunaan pertahanan keamanan siber, dimulai hari ini dengan varian GPT‑5.4 yang dilatih agar permisif terhadap keamanan siber: GPT‑5.4‑Cyber. Dalam postingan ini, kami membagikan informasi mengenai bagaimana kami berharap pendekatan kami untuk meningkatkan skala pertahanan siber secara selaras dengan peningkatan kemampuan model akan memandu pengujian dan peluncuran rilis mendatang.

Penggunaan AI yang semakin luas mempercepat kerja para pelindung—mereka yang bertanggung jawab menjaga keamanan sistem, data, dan pengguna—sehingga mereka dapat menemukan dan memperbaiki masalah lebih cepat dalam infrastruktur digital yang diandalkan semua orang. Demikian pula, AI digunakan⁠ oleh penyerang yang ingin menimbulkan bahaya. Kami telah mempersiapkan diri untuk ini. Sejak 2023, kami telah mendukung para pelindung melalui Program Hibah Keamanan Siber⁠ kami dan memperkuat langkah pengamanan melalui Kerangka Kerja Kesiapan⁠ kami. Pada tahun yang sama, kami mulai mengevaluasi kemampuan siber model kami, dan pada tahun 2025, kami mulai menyertakan langkah pengamanan khusus siber⁠(terbuka di jendela baru) dalam penerapan model⁠ kami. Awal tahun ini, kami semakin memperluas dukungan kami bagi para pelindung dengan peluncuran Codex Security⁠ untuk mengidentifikasi dan memperbaiki kerentanan dalam skala besar. Pendekatan kami terhadap kemajuan kemampuan yang berkelanjutan ini didasarkan pada tiga prinsip:

• Akses yang merata: Tujuan kami adalah membuat alat-alat ini tersedia seluas mungkin dengan tetap mencegah penyalahgunaan. Kami merancang mekanisme yang menghindari penentuan secara sewenang-wenang tentang siapa yang mendapatkan akses untuk penggunaan yang sah dan siapa yang tidak. Itu berarti menggunakan kriteria dan metode yang jelas dan objektif – seperti KYC yang kuat dan verifikasi identitas – untuk menentukan siapa yang dapat mengakses⁠ kemampuan yang lebih canggih dan mengotomatisasi proses ini seiring waktu. Pada akhirnya, kami bertujuan untuk membuat kemampuan pertahanan canggih tersedia bagi pihak-pihak yang sah, baik besar maupun kecil, termasuk mereka yang bertanggung jawab untuk melindungi infrastruktur, layanan publik, dan sistem digital yang krusial yang diandalkan orang setiap hari.
• Penerapan iteratif: Kami paling banyak belajar dengan menerapkan sistem ini di dunia nyata secara hati-hati⁠ dan meningkatkannya seiring waktu. Seiring kami semakin memahami kapabilitas dan risikonya, kami memperbarui model dan sistem keamanan kami sesuai kebutuhan. Ini mencakup pemahaman tentang manfaat dan risiko yang berbeda dari model tertentu, meningkatkan ketahanan terhadap jailbreak dan serangan adversarial lainnya, serta meningkatkan kapabilitas pertahanan — sambil memitigasi bahaya. 
• Berinvestasi dalam ketahanan ekosistem: Kami mendukung dan mempercepat komunitas pelindung sistem melalui jalur akses tepercaya, hibah⁠ yang ditargetkan, kontribusi pada inisiatif keamanan sumber terbuka⁠(terbuka di jendela baru), dan teknologi seperti Codex Security⁠ yang membantu pelindung sistem lebih cepat menemukan dan menambal kerentanan. 

Strategi kami untuk ketahanan keamanan siber dan percepatan pertahanan

Selama bertahun-tahun, strategi keamanan siber kami adalah berinvestasi dalam penelitian, mencegah penyalahgunaan, dan mempercepat kerja para pelindung. Seiring dengan kemajuan kapabilitas model, kami telah memperluas program kami guna mencapai tujuan-tujuan ini, yang didasari keyakinan berikut: 

• Risiko siber sudah ada dan semakin meningkat, tetapi kita dapat mengambil tindakan. Infrastruktur digital telah rentan⁠(terbuka di jendela baru) selama bertahun-tahun, bahkan sebelum AI canggih muncul. Kini, model yang ada dapat membantu menemukan kerentanan, memahami berbagai basis kode, dan mendukung bagian-bagian penting dari alur kerja siber, sementara pelaku ancaman sedang bereksperimen dengan pendekatan baru yang digerakkan oleh AI. Kami telah melihat harness canggih memunculkan kapabilitas yang semakin kuat dengan menggunakan daya komputasi yang lebih besar pada saat pengujian, menggunakan model-model yang sudah ada. Itu berarti langkah pengamanan tidak dapat menunggu satu ambang batas di masa depan.
  
• Perluas akses berdasarkan siapa yang menggunakan sistem ini dan bagaimana sistem ini digunakan. Kapabilitas siber pada dasarnya memiliki fungsi ganda, sehingga risiko tidak ditentukan oleh model saja. Hal ini juga bergantung pada pengguna, sinyal kepercayaan⁠(terbuka di jendela baru) di sekitar mereka, dan tingkat akses yang diberikan kepada mereka.
  • Akses luas ke model umum dengan langkah pengamanan dapat berjalan berdampingan dengan kontrol yang lebih terperinci untuk kapabilitas berisiko lebih tinggi, didukung oleh verifikasi yang lebih kuat, sinyal maksud yang lebih jelas, dan visibilitas yang lebih baik terhadap penggunaan.
  • Untuk memungkinkan penggunaan yang bertanggung jawab dalam skala besar, kami memerlukan sistem yang dapat memvalidasi pengguna dan kasus penggunaan yang tepercaya dengan cara yang lebih otomatis dan objektif. Hal ini memungkinkan kami untuk memperluas akses berdasarkan bukti dan sinyal kepercayaan yang nyata, daripada mengandalkan keputusan manual. Kami tidak menganggap bahwa menentukan secara terpusat siapa yang boleh melindungi diri adalah hal yang praktis maupun pantas. Sebaliknya, kami bertujuan untuk memungkinkan sebanyak mungkin para pelindung yang sah, dengan akses yang didasarkan pada verifikasi, sinyal kepercayaan, dan akuntabilitas.
    
• Pertahanan harus terus-menerus disesuaikan dengan kapabilitas. Seiring dengan meningkatnya kemampuan model, pertahanan perlu ditingkatkan seiring dengan itu. Kami telah melihat peningkatan yang stabil dalam pengodean agentik, yang berimplikasi langsung pada keamanan siber, dan kami telah menyesuaikan pendekatan kami seiring dengan itu.
  • Kami memulai pelatihan keamanan khusus siber dengan GPT‑5.2, kemudian memperluasnya dengan langkah pengamanan tambahan melalui GPT‑5.3‑Codex dan GPT‑5.4. di mana kami juga mengklasifikasikan model tersebut sebagai kapabilitas siber “tinggi” di bawah Kerangka Kerja Kesiapan kami. Secara paralel, kami meningkatkan dukungan bagi para pelindung: meluncurkan Program Hibah Keamanan Siber senilai $10 juta⁠, menjangkau lebih dari 1.000 proyek sumber terbuka dengan Codex untuk Sumber Terbuka⁠(terbuka di jendela baru) yang menyediakan pemindaian keamanan gratis, dan terus meningkatkan Codex Security.
  • Codex Security, yang diluncurkan dalam beta privat enam bulan lalu, dan sebagai pratinjau riset awal tahun ini⁠, secara otomatis memantau basis kode, memvalidasi masalah, dan mengusulkan perbaikan. Seiring dengan meningkatnya kualitas model, presisi dan kegunaan sistem juga meningkat. Sejak peluncuran terbaru, Codex Security telah berkontribusi pada perbaikan lebih dari 3.000 kerentanan berkategori kritis dan tinggi, serta jauh lebih banyak temuan dengan tingkat keparahan rendah yang telah diperbaiki di seluruh ekosistem.
  • Di seluruh rangkaian rilis ini, kami juga telah menyempurnakan cara model menangani permintaan sensitif, mengalibrasi batasan penolakan sekaligus memperluas akses tepercaya melalui program seperti TAC.
    
• Pengembangan perangkat lunak itu sendiri harus dibuat lebih aman. Ekosistem yang paling kuat adalah ekosistem yang secara berkelanjutan mengidentifikasi, memvalidasi, dan memperbaiki masalah keamanan selagi kode perangkat lunak ditulis. Dengan mengintegrasikan model pengodean tingkat lanjut dan kemampuan agentik ke dalam alur kerja pengembang, kita dapat memberikan masukan yang langsung dan dapat ditindaklanjuti saat mereka sedang membangun, mengubah keamanan dari audit berkala dan inventaris bug statis menjadi pengurangan risiko yang berkelanjutan dan nyata.
  

Kami ingin memberdayakan para pelindung dengan memberikan akses luas ke kemampuan terdepan, termasuk model yang dirancang khusus untuk keamanan siber. Pada bulan Februari, kami memperkenalkan Trusted Access for Cyber⁠ (TAC) dengan verifikasi identitas otomatis bagi individu guna mengurangi hambatan dari langkah pengamanan pada tugas-tugas terkait keamanan siber, serta bermitra dengan sejumlah kecil organisasi untuk model yang lebih permisif untuk penggunaan siber.

Hari ini, kami memperluas program ini dengan memperkenalkan tingkatan akses tambahan bagi pengguna yang bersedia bekerja sama dengan OpenAI untuk memverifikasi identitas mereka sebagai pelindung keamanan siber. Pelanggan di tingkat tertinggi akan mendapatkan akses ke GPT‑5.4‑Cyber, sebuah model yang secara khusus dioptimalkan untuk kemampuan siber tambahan dan dengan lebih sedikit pembatasan kemampuan. Ini adalah versi GPT‑5.4 yang menurunkan ambang penolakan untuk pekerjaan keamanan siber yang sah dan memungkinkan kemampuan baru untuk alur kerja pertahanan tingkat lanjut, termasuk kemampuan rekayasa balik biner yang memungkinkan profesional keamanan menganalisis perangkat lunak yang dikumpulkan untuk melihat potensi malware, kerentanan, dan ketahanan keamanan tanpa perlu akses ke kode sumbernya.

Karena model ini lebih permisif, kami memulai dengan penerapan terbatas dan iteratif kepada vendor keamanan, organisasi, dan peneliti yang telah diverifikasi. Akses ke model yang permisif dan mampu menangani urusan siber mungkin memiliki keterbatasan, terutama terkait penggunaan tanpa visibilitas seperti Retensi Data Nol⁠(terbuka di jendela baru) (ZDR). Hal ini terutama berlaku bagi pengembang dan organisasi yang mengakses model kami melalui platform pihak ketiga, di mana OpenAI mungkin memiliki visibilitas langsung yang lebih terbatas terhadap pengguna, lingkungan, atau tujuan permintaan tersebut. 

Mendapatkan akses ke TAC itu mudah:

• Pengguna individu dapat memverifikasi identitas mereka di chatgpt.com/cyber⁠(terbuka di jendela baru). 
• Perusahaan dapat meminta akses tepercaya⁠ untuk tim mereka melalui perwakilan OpenAI mereka. 

Semua pelanggan yang disetujui melalui proses ini akan mendapatkan akses ke versi model yang sudah ada dengan hambatan yang lebih rendah terkait pengamanan yang mungkin terpicu oleh aktivitas siber penggunaan ganda, sehingga mereka dapat terus mendukung pendidikan keamanan, pemrograman defensif, dan penelitian kerentanan yang bertanggung jawab. Pelanggan yang sudah berada di TAC dan bersedia menjalani autentikasi lebih lanjut sebagai pelindung siber yang sah dapat menyatakan minat⁠(terbuka di jendela baru) untuk mendapatkan tingkat akses tambahan, termasuk permintaan akses ke GPT‑5.4‑Cyber.

Pertahanan keamanan siber kami merupakan hasil dari berbulan-bulan penyempurnaan secara iteratif. Kami percaya kategori langkah pengamanan yang digunakan saat ini cukup mengurangi risiko siber untuk mendukung penerapan luas model saat ini. Kami memperkirakan bahwa versi dari langkah pengamanan ini akan memadai untuk model yang lebih canggih yang akan datang, sementara model yang secara eksplisit dilatih dan dibuat lebih permisif untuk pekerjaan keamanan siber memerlukan penerapan yang lebih ketat serta kontrol yang sesuai.

Dalam jangka panjang, untuk memastikan kecukupan keamanan AI dalam keamanan siber yang ada saat ini, kami juga memperkirakan perlunya pertahanan yang lebih luas untuk model masa depan, yang kemampuannya akan segera melampaui model yang dirancang khusus terbaik saat ini.