Plečiame „Trusted Access for Cyber“ (TAC) programą, atverdami ją tūkstančiams patvirtintų individualių gynėjų ir šimtams komandų, atsakingų už kritinės programinės įrangos apsaugą. Jau ne vienerius metus kuriame kibernetinės gynybos programą, pagrįstą demokratizuotos prieigos, iteracinio diegimo ir ekosistemos atsparumo principais. Ruošdamiesi per artimiausius kelis mėnesius pasirodysiantiems vis galingesniems „OpenAI“ modeliams, mes papildomai suderiname savo modelius specialiai tam, kad įgalintume gynybinius kibernetinio saugumo pritaikymo scenarijus. Pradedame jau šiandien nuo „GPT‑5.4“ varianto, išmokyto būti lankstesniu atliekant kibernetines užduotis: „GPT‑5.4‑Cyber“. Šiame įraše dalijamės, kaip tikimės, kad mūsų požiūris sinchroniškai su augančiomis modelių galimybėmis plėsti kibernetinę gynybą taps gairėmis testuojant bei diegiant būsimus leidimus.
Vis platesnis DI naudojimas spartina gynėjų – tų, kurie atsakingi už sistemų, duomenų ir naudotojų saugumą – darbą, leidžiantį jiems greičiau rasti ir ištaisyti problemas skaitmeninėje infrastruktūroje, kuria visi kliaujasi. Lygiai taip pat DI naudoja ir puolikais, siekiantys padaryti žalos. Mes tam ruošėmės. Nuo 2023 m. palaikome gynėjus per Kibernetinio saugumo dotacijų programą ir stipriname apsaugos priemones remdamiesi savo Pasirengimo sistema. Tais pačiais metais pradėjome vertinti savo modelių kibernetines galimybes, o 2025 m. pradėjome įtraukti specifines kibernetines apsaugos priemones(atsidaro naujame lange) į savo modelių diegimus. Kiek anksčiau šiais metais mes dar labiau padidinome savo paramą gynėjams pristatydami Codex Security, skirtą dideliu mastu nustatyti ir šalinti pažeidžiamumus. Mūsų požiūris į šį nuolatinį galimybių tobulėjimą grindžiamas trimis principais.
- Demokratizuota prieiga: mūsų tikslas – padaryti šiuos įrankius kuo plačiau prieinamus, kartu užkertant kelią piktnaudžiavimui jais. Kuriame mechanizmus, kurie padeda išvengti savavališkų sprendimų, kas gali gauti prieigą teisėtam naudojimui, o kas – ne. Tai reiškia aiškių, objektyvių kriterijų ir metodų – tokių kaip stiprus „Pažink savo klientą“ (angl. KYC) procesas ir tapatybės patvirtinimas – naudojimą sprendžiant, kas gali gauti prieigą prie pažangesnių galimybių, ir ilgainiui šių procesų automatizavimą. Galiausiai siekiame, kad pažangios gynybos galimybės taptų prieinamos tiek dideliems, tiek mažiems teisėtiems veikėjams, įskaitant tuos, kurie atsakingi už kritinės infrastruktūros, viešųjų paslaugų ir skaitmeninių sistemų, nuo kurių žmonės priklauso kiekvieną dieną, apsaugą.
- Iteracinis diegimas: daugiausia išmokstame atsargiai pristatydami šias sistemas pasauliui ir ilgainiui jas tobulindami. Geriau suprasdami tiek jų galimybes, tiek riziką, mes atitinkamai atnaujiname savo modelius bei saugos sistemas. Tai apima diferencijuotos konkrečių modelių naudos ir rizikos supratimą, atsparumo apsaugų apėjimui ir kitoms priešiškoms atakoms didinimą bei gynybinių pajėgumų gerinimą, kartu mažinant žalą.
- Investicijos į ekosistemos atsparumą: palaikome ir spartiname gynėjų bendruomenę per patikimos prieigos būdus, tikslines dotacijas, indėlį į atvirojo kodo saugumo iniciatyvas(atsidaro naujame lange) ir tokias technologijas kaip Codex Security, kurios padeda gynėjams greičiau rasti ir ištaisyti pažeidžiamumus.
Mūsų strategija kibernetinio saugumo atsparumui ir gynybos spartinimui
Ne vienerius metus mūsų kibernetinio saugumo strategija buvo investuoti į mokslinius tyrimus, užkirsti kelią piktnaudžiavimui ir padėti gynėjams dirbti greičiau. Tobulėjant modelių galimybėms, mes išplėtėme savo programas siekdami šių tikslų, pagrįstų toliau nurodytais įsitikinimais.
- Kibernetinė rizika jau yra ir ji auga, bet mes galime veikti. Skaitmeninė infrastruktūra buvo pažeidžiama(atsidaro naujame lange) jau ne vienerius metus, dar prieš atsirandant pažangiam DI. Dabar esami modeliai gali padėti rasti pažeidžiamumus, analizuoti kodo bazes bei palaikyti reikšmingas kibernetinio darbo proceso dalis, o grėsmių sukėlėjai eksperimentuoja su naujais, DI paremtais metodais. Matėme, kaip sudėtingos infrastruktūros išgauna vis geresnių galimybių, naudodamos daugiau testavimo metui skirtų skaičiavimo resursų su esamais modeliais. Tai reiškia, kad kuriant apsaugos priemones negalima laukti vienos konkrečios ribos ateityje.
- Plėskite prieigą atsižvelgdami į tai, kas naudoja šias sistemas ir kaip jos naudojamos. Kibernetinės galimybės iš prigimties yra dvejopo naudojimo, todėl rizikos neapibrėžia vien tik pats modelis. Tai taip pat priklauso nuo naudotojo, su juo susijusių pasitikėjimo signalų(atsidaro naujame lange) bei jam suteikto prieigos lygio.
- Plati prieiga prie bendrųjų modelių su apsaugos priemonėmis gali egzistuoti kartu su detalesne didesnės rizikos galimybių kontrole, kurią palaiko griežtesnė patikra, aiškesni ketinimų signalai ir geresnis naudojimo matomumas.
- Norint užtikrinti atsakingą plataus masto naudojimą, mums reikia sistemų, galinčių patvirtinti patikimus naudotojus ir pritaikymo scenarijus labiau automatizuotais ir objektyvesniais būdais. Tai leidžia mums plėsti prieigą remiantis įrodymais bei realiais pasitikėjimo signalais, užuot kliovusis rankiniu būdu priimamais sprendimais. Nemanome, kad praktiška ar tinkama centralizuotai spręsti, kas turi teisę gintis. Vietoj to, siekiame įgalinti kuo daugiau teisėtų gynėjų, kurių prieiga būtų pagrįsta patikra, pasitikėjimo signalais ir atskaitomybe.
- Gynyba turėtų būti nuolat plečiama kartu su galimybėmis. Augant modelių galimybėms, gynyba taip pat turi plėstis. Pastebime nuolatinį tobulėjimą agentų atliekamame kodo rašyme, o tai turi tiesioginės įtakos kibernetiniam saugumui, todėl mes atitinkamai pritaikėme ir savo požiūrį.
- Specialųjį su kibernetika susijusį saugos mokymą pradėjome nuo GPT‑5.2, vėliau išplėtėme jį papildomomis apsaugos priemonėmis naudodami „GPT‑5.3‑Codex“ ir GPT‑5.4, kur pagal savo Pasirengimo sistemą šio modelio kibernetinius pajėgumus klasifikavome kaip „aukštus“. Kartu didinome paramą gynėjams: pristatėme 10 mln. USD vertės Kibernetinio saugumo dotacijų programą, pasiekėme daugiau nei tūkstantį atvirojo kodo projektų pasitelkdami Codex for Open Source(atsidaro naujame lange), kuris užtikrina nemokamą saugumo nuskaitymą, ir toliau tobulinome „Codex Security“.
- Prieš šešis mėnesius kaip privati beta versija ir anksčiau šiais metais kaip tyrimams skirta peržiūros versija pristatyta „Codex Security“ automatiškai stebi kodo bazes, patvirtina problemas ir siūlo jų sprendimus. Tobulėjant modeliams, didėjo ir sistemos tikslumas bei naudingumas. Nuo neseniai įvykusio pristatymo, visoje ekosistemoje „Codex Security“ prisidėjo prie daugiau nei 3 tūkst. kritinių ir aukšto lygio ištaisytų pažeidžiamumų bei dar daugiau žemesnio lygio ištaisytų radinių.
- Visuose šiuose leidimuose mes taip pat patobulinome tai, kaip modeliai apdoroja jautrias užklausas, kalibruodami atsisakymo vykdyti užklausas ribas ir kartu plėsdami patikimą prieigą per tokias programas kaip TAC.
- Pats programinės įrangos kūrimas turi tapti saugesnis. Stipriausia ekosistema yra ta, kuri kuriant programinę įrangą nuolat nustato, patvirtina ir ištaiso saugumo problemas. Integruodami pažangius kodo rašymo modelius ir agentų galimybes į kūrėjų darbo procesus, mes galime suteikti kūrėjams tiesioginį, praktiškai pritaikomą atgalinį ryšį dar kūrimo etape, taip perkeliant saugumą nuo epizodinio audito bei statinių klaidų aprašų prie nuolatinio, apčiuopiamo rizikos mažinimo.
Norime įgalinti gynėjus, suteikdami plačią prieigą prie priešakinių galimybių, įskaitant modelius, kurie buvo specialiai sukurti kibernetiniam saugumui. Vasario mėnesį pristatėme programą „Trusted Access for Cyber“ (TAC), kurioje taikomas ir automatizuotas asmens tapatybės patvirtinimas, siekiant sumažinti apsaugos priemonių sukeliamus nepatogumus atliekant su kibernetiniu saugumu susijusias užduotis, ir partnerystė su ribotu organizacijų skaičiumi, siekiant suteikti joms modelius, lankstesnius kibernetinėms užduotims.
Šiandien plečiame šią programą, pristatydami papildomus prieigos lygius naudotojams, kurie nori bendradarbiauti su „OpenAI“ ir patvirtinti savo, kaip kibernetinio saugumo gynėjų, tapatybę. Aukščiausių lygių klientai gaus prieigą prie „GPT‑5.4‑Cyber“ – modelio, specialiai suderinto papildomoms kibernetinėms galimybėms ir turinčio mažiau apribojimų. Tai GPT‑5.4 versija, kuri nuleidžia atsisakymo vykdyti užklausas ribą teisėtam kibernetinio saugumo darbui ir įgalina naujas galimybes pažangiems gynybiniams darbo procesams, įskaitant dvejetainės sistemos apgrąžos inžinerijos galimybes, leidžiančias saugumo profesionalams analizuoti sukompiliuotą programinę įrangą dėl galimo kenkėjiškumo, pažeidžiamumų ir saugumo patikimumo, nereikalaujant prieigos prie pirminio jos kodo.
Kadangi šis modelis yra lankstesnis, pradedame nuo riboto, iteracinio jo diegimo patikrintiems saugumo paslaugų teikėjams, organizacijoms ir tyrėjams. Prieiga prie lankstesnių ir kibernetinėms užduotims skirtų modelių gali turėti apribojimų, ypač tais atvejais, kai nėra matomumo, pavyzdžiui, taikant nulinį duomenų saugojimą(atsidaro naujame lange) (ZDR). Tai ypač aktualu kūrėjams ir organizacijoms, kurie prie mūsų modelių jungiasi per trečiųjų šalių platformas, kur „OpenAI“ gali turėti mažiau tiesioginio matomumo į naudotoją, aplinką ar užklausos tikslą.
Gauti prieigą prie TAC – paprasta.
- Individualūs naudotojai gali patvirtinti savo tapatybę svetainėje chatgpt.com/cyber(atsidaro naujame lange).
- Įmonės gali prašyti patikimos prieigos savo komandai per „OpenAI“ atstovą.
Visi klientai, patvirtinti per šį procesą, gaus prieigą prie esamų modelių versijų su mažesniais apsaugos priemonių keliamais nepatogumais, kurie gali suveikti atliekant dvejopo naudojimo kibernetinę veiklą. Tai leis jiems ir toliau remti saugumo mokymus, gynybinį programavimą bei atsakingą pažeidžiamumų tyrimą. Klientai, jau esantys TAC programoje ir norintys toliau patvirtinti savo, kaip teisėtų kibernetinės gynybos specialistų, tapatybę, gali išreikšti susidomėjimą(atsidaro naujame lange) papildomais prieigos lygiais, įskaitant prašymą suteikti prieigą prie „GPT‑5.4‑Cyber“.
Mūsų kibernetinio saugumo gynyba yra daugelį mėnesių trukusio iteracinio tobulinimo rezultatas. Tikime, kad šiandien naudojamos apsaugos priemonės pakankamai sumažina kibernetinę riziką, todėl galime palaikyti platų esamų modelių diegimą. Tikimės, kad šių apsaugos priemonių versijų pakaks būsimiems galingesniems modeliams, tuo tarpu modeliai, kurie yra specialiai išmokyti ir padaryti lankstesniais kibernetinio saugumo darbams, reikalauja griežtesnių diegimo apribojimų bei atitinkamos kontrolės.
Ilgainiui, norint užtikrinti nuolatinį DI saugos pakankamumą kibernetiniame saugume, taip pat tikimės, kad reikės platesnių gynybos priemonių ateities modeliams, kurių galimybės greitai pranoks net ir geriausius šiandienos specialiai tam pritaikytus modelius.
