Öruggur aðgangur fyrir nýja öld netvarna

Við erum að stækka Trusted Access for Cyber (TAC) áætlunina okkar til að ná til þúsunda staðfestra einstakra varnaraðila og hundruða teyma sem bera ábyrgð á að verja mikilvægan hugbúnað. Í mörg ár höfum við byggt upp netvarnaráætlun á meginreglunum um lýðræðisvæddan aðgang, ítrekaða dreifingu og seiglu vistkerfisins. Til undirbúnings fyrir sífellt öflugri líkön frá OpenAI á næstu mánuðum erum við að fínstilla líkönin okkar sérstaklega til að gera notkunartilvik í varnarmiðuðu netöryggi möguleg, og frá og með deginum í dag hefjum við það með afbrigði af GPT‑5.4 sem hefur verið þjálfað til að vera netöryggisleyfilegt: GPT‑5.4‑Cyber. Í þessari færslu gerum við grein fyrir því hvernig við búumst við að nálgun okkar við að skala netvarnir í takt við vaxandi getu líkana muni móta prófanir og innleiðingu komandi útgáfa.

Vaxandi notkun gervigreindar flýtir fyrir varnaraðilum – þeim sem bera ábyrgð á að halda kerfum, gögnum og notendum öruggum – og gerir þeim kleift að finna og laga vandamál hraðar í stafrænum innviðum sem allir reiða sig á. Á sama hátt er gervigreind notuð⁠ af árásaraðilum sem leitast við að valda skaða. Við höfum verið að undirbúa okkur fyrir þetta. Frá árinu 2023 höfum við stutt varnaraðila í gegnum Cybersecurity Grant-áætlun⁠ okkar og eflt öryggisráðstafanir með undirbúningsramma⁠ okkar. Sama ár hófum við að meta netöryggisgetu líkana okkar og árið 2025 fórum við að taka upp sértækar netöryggisráðstafanir⁠(opnast í nýjum glugga) í innleiðingum líkana⁠ okkar. Fyrr á þessu ári efldum við enn frekar stuðning okkar við varnaraðila með kynningu á Codex Security⁠ til að bera kennsl á og laga hugbúnaðarveikleika í stórum stíl. Nálgun okkar að þessari stöðugu framþróun á getu er leidd af þremur meginreglum:

• Lýðræðisvæddur aðgangur: Markmið okkar er að gera þessi verkfæri eins aðgengileg og mögulegt er, á sama tíma og komið er í veg fyrir misnotkun. Við hönnum kerfi sem koma í veg fyrir geðþóttaákvarðanir um hverjir fá aðgang til lögmætrar notkunar og hverjir ekki. Það þýðir að nota skýr, hlutlæg viðmið og aðferðir – eins og öflugt KYC og staðfestingu auðkennis – til að stýra hverjir fá aðgang að⁠ þróaðri eiginleikum og sjálfvirknivæða þessi ferli með tímanum. Að lokum stefnum við að því að gera háþróaða varnarhæfni aðgengilega lögmætum aðilum, stórum sem smáum, þar á meðal þeim sem bera ábyrgð á að vernda mikilvæga innviði, opinbera þjónustu og stafrænu kerfin sem fólk treystir á daglega.
• Ítrekuð dreifing: Við lærum mest með því að innleiða þessi kerfi varlega í heiminum⁠ og bæta þau með tímanum. Eftir því sem við skiljum betur bæði getu þeirra og áhættu uppfærum við líkönin okkar og öryggiskerfin í samræmi við það. Þetta felur í sér að skilja ólíkan ávinning og áhættu tiltekinna líkana, bæta viðnámsþol gegn flótta og öðrum óvinveittum árásum, bæta varnargetu og draga úr skaða. 
• Fjárfesting í seiglu vistkerfisins: Við styðjum og flýtum fyrir samfélagi varnaraðila með traustum aðgangsleiðum, markvissum styrkveitingum⁠, framlögum til öryggisframtaksverkefna á sviði opins hugbúnaðar⁠(opnast í nýjum glugga) og tækni eins og Codex Security⁠, sem hjálpar varnaraðilum að finna og laga veikleika hraðar. 

Stefna okkar fyrir seiglu í netöryggi og hraðvirkari varnarviðbrögð

Um árabil hefur stefna okkar í netöryggi verið að fjárfesta í rannsóknum, koma í veg fyrir misnotkun og styðja varnaraðila. Eftir því sem geta líkana hefur aukist höfum við útvíkkað áætlanir okkar í átt að þessum markmiðum, sem byggjast á eftirfarandi sannfæringum: 

• Netáhætta er þegar komin fram og fer vaxandi, en við getum brugðist við. Stafrænir innviðir hafa þegar verið berskjaldaðir⁠(opnast í nýjum glugga) árum saman, áður en háþróuð gervigreind kom til sögunnar. Nú geta núverandi líkön hjálpað til við að finna veikleika, rökstutt þvert á kóðagrunna og stutt mikilvæga hluta vinnuflæðis á sviði netöryggis, á meðan ógnaraðilar gera tilraunir með nýjar gervigreindardrifnar aðferðir. Við höfum séð þróaðar umgjarðir kalla fram sífellt meiri getu með því að nýta meira reikniafl við prófanir með núverandi líkönum. Það þýðir að öryggisráðstafanir geta ekki beðið eftir einum framtíðarþröskuldi.
  
• Auka aðgang miðað við hver notar þessi kerfi og hvernig þau eru notuð. Netgeta er í eðli sínu tvíþætt, þannig að áhætta ræðst ekki af líkaninu einu og sér. Það veltur líka á notandanum, traustvísbendingunum⁠(opnast í nýjum glugga) sem tengjast honum og hvaða aðgangsstig honum er veitt.
  • Víðtækur aðgangur að almennum líkönum með öryggisráðstöfunum getur verið samhliða nákvæmari stýringum fyrir hættulegri getu, studdar af sterkari staðfestingu, skýrari vísbendingum um ásetning og betri yfirsýn yfir notkun.
  • Til að gera ábyrga notkun í stórum stíl mögulega þurfum við kerfi sem geta staðfest áreiðanlega notendur og notkunartilvik á sjálfvirkari og hlutlægari hátt. Þetta gerir okkur kleift að auka aðgang á grundvelli sönnunargagna og raunverulegra traustmerkja, í stað þess að reiða okkur á handvirkar ákvarðanir. Við teljum ekki raunhæft né viðeigandi að ákveða miðlægt hverjir fá að verja sig. Þess í stað stefnum við að því að eins margir lögmætir varnaraðilar og mögulegt er fái aðgang sem byggir á sannprófun, traustmerkjum og ábyrgð.
    
• Varnir ættu stöðugt að aukast í takt við getu. Eftir því sem geta líkansins eykst, þurfa varnir að aukast samhliða. Við höfum séð stöðugar framfarir í fulltrúastýrðri kóðun, sem hafa bein áhrif á netöryggi, og við höfum aðlagað nálgun okkar í samræmi við það.
  • Við hófum netöryggisþjálfun með GPT‑5.2 og útvíkkuðum hana síðan með frekari öryggisráðstöfunum í gegnum GPT‑5.3‑Codex og GPT‑5.4 þar sem við flokkuðum líkanið einnig sem með „háa“ netgetu samkvæmt undirbúningsramma okkar. Samhliða þessu jukum við stuðning við varnaraðila: settum á laggirnar 10 milljóna USD Cybersecurity Grant-áætlun⁠, náðum til yfir 1.000 opinna hugbúnaðarverkefna með Codex for Open Source⁠(opnast í nýjum glugga), sem veitir ókeypis öryggisskönnun og héldum áfram að bæta Codex Security.
  • Codex Security, sem var sett á markað sem einkabetaútgáfa fyrir sex mánuðum síðan og sem rannsóknarforskoðun fyrr á þessu ári⁠, fylgist sjálfkrafa með kóðagrunnum, staðfestir vandamál og leggur til lagfæringar. Eftir því sem líkön hafa batnað, hefur nákvæmni og notagildi kerfisins einnig aukist. Frá nýlegri útgáfu hefur Codex Security stuðlað að lagfæringu á yfir 3.000 alvarlegum og mjög alvarlegum veikleikum, ásamt mun fleiri lagfærðum niðurstöðum með lægri alvarleika í vistkerfinu.
  • Í þessum útgáfum höfum við einnig betrumbætt hvernig líkön takast á við viðkvæmar beiðnir, stillt mörk fyrir höfnun og aukið traustan aðgang í gegnum áætlanir eins og TAC.
    
• Hugbúnaðarþróun þarf að vera öruggari. Sterkasta vistkerfið greinir, staðfestir og lagar öryggisvandamál jafnóðum og hugbúnaður er skrifaður. Með því að samþætta háþróuð kóðunarlíkön og sjálfstýrða eiginleika í verkflæði forritara getum við veitt þeim tafarlausa og hagnýta endurgjöf á meðan þeir þróa, og fært öryggismál frá stöku úttektum og kyrrstæðum villuyfirlitum yfir í samfellda og áþreifanlega áhættuminnkun.
  

Við viljum styrkja varnaraðila með því að veita víðtækan aðgang að háþróaðri getu, þar á meðal líkönum sem eru sérsniðin fyrir netöryggi. Í febrúar kynntum við Trusted Access for Cyber⁠ (TAC), með sjálfvirkri auðkennisstaðfestingu fyrir einstaklinga til að draga úr hindrunum sem öryggisráðstafanir skapa við verkefni tengd netöryggi, ásamt samstarfi við takmarkaðan hóp stofnana um aðgang að líkönum sem eru hönnuð fyrir netöryggi.

Í dag erum við að stækka þetta kerfi með því að bæta við fleiri aðgangsstigum fyrir notendur sem eru tilbúnir að vinna með OpenAI til að staðfesta sig sem varnaraðila í netöryggi. Viðskiptavinir í hæstu þjónustuflokkunum fá aðgang að GPT‑5.4‑Cyber, líkani sem hefur verið sérstaklega fínstillt fyrir aukna getu á sviði netöryggis og með færri takmarkanir á virkni. Þetta er útgáfa af GPT‑5.4 sem lækkar mörk synjunar fyrir lögmæta netöryggisvinnu og gerir nýja eiginleika mögulega fyrir háþróaðar varnarvinnuferlar, þar á meðal baksmíði tvíundarskráa sem gerir öryggissérfræðingum kleift að greina þýddan hugbúnað með tilliti til mögulegrar spilliforritavirkni, veikleika og öryggisþols án þess að þurfa að hafa aðgang að frumkóða hans.

Vegna þess að þetta líkan er sveigjanlegra, erum við að hefja takmarkaða, ítrekaða dreifingu til viðurkenndra öryggissöluaðila, stofnana og rannsakenda. Aðgangur að sveigjanlegum og netfærum líkönum getur verið takmarkaður, sérstaklega varðandi notkunartilvik án sýnileika, eins og Engin gögn varðveitt⁠(opnast í nýjum glugga) (ZDR). Þetta á sérstaklega við um forritara og stofnanir sem fá aðgang að líkan okkar í gegnum verkvanga þriðja aðila þar sem OpenAI kann að hafa minni beina innsýn í notandann, umhverfið eða tilgang beiðninnar. 

Að fá aðgang að TAC er einfalt:

• Einstakir notendur geta staðfest auðkenni sitt á chatgpt.com/cyber⁠(opnast í nýjum glugga). 
• Fyrirtæki geta beðið um sannreyndan aðgang⁠ fyrir teymið sitt í gegnum fulltrúa sinn hjá OpenAI. 

Allir viðskiptavinir sem fá samþykki í gegnum þetta ferli munu fá aðgang að útgáfum af núverandi líkönum með minni hindrunum vegna öryggisráðstafana sem gætu virkjast vegna netvirkni með tvíþætt notagildi, sem gerir þeim kleift að halda áfram að styðja við öryggisfræðslu, varnarforritun og ábyrgar rannsóknir á veikleikum. Viðskiptavinir sem þegar eru í TAC og eru tilbúnir að auðkenna sig frekar sem lögmæta netvarnaraðila geta lýst yfir áhuga⁠(opnast í nýjum glugga) á viðbótarstigum aðgangs, þar á meðal að óska eftir aðgangi að GPT‑5.4‑Cyber.

Varnir okkar á sviði netöryggis eru afrakstur margra mánaða ítrekaðra umbóta. Við teljum að sá flokkur öryggisráðstafana sem er í notkun í dag dragi nægilega úr netáhættu til að styðja við víðtæka innleiðingu núverandi líkana. Við gerum ráð fyrir að útgáfur af þessum öryggisráðstöfunum verði nægilegar fyrir komandi öflugri líkön, en líkön sem eru sérstaklega þjálfuð og gerð leyfilegri fyrir netöryggisvinnu krefjast takmarkaðri innleiðingar og viðeigandi stýringa.

Til lengri tíma litið, til að tryggja áframhaldandi nægilegt öryggi gervigreindar í netöryggi, búumst við einnig við þörf fyrir víðtækari varnir fyrir framtíðarlíkön, þar sem geta þeirra mun brátt fara fram úr jafnvel bestu sérhönnuðu líkönum samtímans.