Plečiame „Trusted Access for Cyber“ (TAC) programą, atverdami ją tūkstančiams patvirtintų individualių gynėjų ir šimtams komandų, atsakingų už kritinės programinės įrangos apsaugą. Jau ne vienerius metus kuriame kibernetinės gynybos programą, pagrįstą demokratizuotos prieigos, iteracinio diegimo ir ekosistemos atsparumo principais. Ruošdamiesi per artimiausius kelis mėnesius pasirodysiantiems vis galingesniems „OpenAI“ modeliams, mes papildomai suderiname savo modelius specialiai tam, kad įgalintume gynybinius kibernetinio saugumo pritaikymo scenarijus. Pradedame jau šiandien nuo „GPT‑5.4“ varianto, išmokyto būti lankstesniu atliekant kibernetines užduotis: „GPT‑5.4‑Cyber“. Šiame įraše dalijamės, kaip tikimės, kad mūsų požiūris sinchroniškai su augančiomis modelių galimybėmis plėsti kibernetinę gynybą taps gairėmis testuojant bei diegiant būsimus leidimus.
Nuoseklus DI naudojimas padeda kibernetinės gynybos specialistams – asmenims, atsakingiems už sistemų, duomenų ir naudotojų saugumą – dirbti greičiau. Tai leidžia jiems sparčiau rasti ir išspręsti problemas skaitmeninėje infrastruktūroje, kuria visi kliaujamės. Lygiai taip pat DI naudoja ir užpuolikai, siekiantys padaryti žalos. Mes tam ruošėmės. Nuo 2023 m. remiame kibernetinės gynybos specialistus per savo Kibernetinio saugumo dotacijų programą ir stipriname apsaugos priemones naudodami Pasirengimo sistemą (angl. „Preparedness Framework“). Tais pačiais metais pradėjome vertinti savo modelių kibernetinius pajėgumus, o 2025 m. pradėjome įtraukti kibernetines apsaugos priemones(atsidaro naujame lange) į savo diegiamus modelius. Šių metų pradžioje, išleidę „Codex Security“, dar labiau išplėtėme paramą kibernetinės gynybos specialistams, siekdami padėti dideliu mastu nustatyti ir pašalinti pažeidžiamumus. Mūsų požiūrį į šį nuolatinį galimybių tobulinimą grindžiame trimis principais:
- Prieinamumas visiems: mūsų tikslas – padaryti šiuos įrankius kuo plačiau prieinamus ir kartu užkirsti kelią piktnaudžiavimui jais. Kuriame mechanizmus, padedančius išvengti savavališkų sprendimų dėl to, kam suteikiama prieiga teisėtam naudojimui, o kam – ne. Tai reiškia, kad naudojame aiškius ir objektyvius kriterijus bei metodus – tokius kaip griežtos taisyklės „Pažink savo klientą“ (angl. KYC) ir tapatybės patvirtinimas – sprendžiant, kam gali būti suteikta prieiga prie pažangesnių galimybių, o ilgainiui šiuos procesus automatizuojame. Galiausiai siekiame, kad pažangios gynybos galimybės būtų prieinamos tiek dideliems, tiek mažiems teisėtiems subjektams, įskaitant tuos, kurie atsakingi už ypatingos svarbos infrastruktūros, viešųjų paslaugų ir skaitmeninių sistemų, nuo kurių žmonės priklauso kasdien, apsaugą.
- Iteracinis diegimas: daugiausia išmokstame atsargiai pristatydami šias sistemas pasauliui ir ilgainiui jas tobulindami. Geriau suprasdami tiek jų galimybes, tiek rizikos veiksnius, atitinkamai atnaujiname savo modelius bei saugumo sistemas. Tai apima konkrečių modelių teikiamos naudos bei rizikos skirtumų supratimą, atsparumo apsaugos apėjimo (angl. „jailbreak“) ir kitoms priešiškoms atakoms didinimą bei gynybinių galimybių gerinimą – tuo pat metu mažinant galimą žalą.
- Investicijos į ekosistemos atsparumą: mes palaikome kibernetinės gynybos specialistų bendruomenę ir padedame jai dirbti greičiau. Tam pasitelkiame patikimus prieigos būdus, tikslines dotacijas, indėlį į atvirojo kodo saugumo iniciatyvas(atsidaro naujame lange) bei tokias technologijas kaip „Codex Security“, padedančias gynėjams greičiau rasti ir pašalinti pažeidžiamumus.
Mūsų strategija kibernetinio saugumo atsparumui ir gynybos spartinimui
Ne vienerius metus mūsų kibernetinio saugumo strategija buvo investuoti į mokslinius tyrimus, užkirsti kelią piktnaudžiavimui ir padėti gynėjams dirbti greičiau. Tobulėjant modelių galimybėms, mes išplėtėme savo programas siekdami šių tikslų, pagrįstų toliau nurodytais įsitikinimais.
- Kibernetinė rizika jau egzistuoja ir nuolat auga, tačiau galime imtis veiksmų.Skaitmeninė infrastruktūra buvo pažeidžiama(atsidaro naujame lange) jau daugelį metų, dar prieš atsirandant pažangiam DI. Dabar esami modeliai gali padėti rasti pažeidžiamumus, analizuoti kodo bazes ir palaikyti svarbius kibernetinio proceso etapus, o grėsmių sukėlėjai eksperimentuoja su naujais, DI grindžiamais metodais. Pastebėjome, kad sudėtinga infrastruktūra leidžia išgauti vis stipresnes galimybes, esamiems modeliams naudojant daugiau skaičiavimo resursų testavimo metu. Tai reiškia, kad kuriant apsaugos priemones negalima laukti vienos konkrečios ribos ateityje.
- Prieigą būtina plėsti atsižvelgiant į tai, kas ir kaip naudoja šias sistemas.Kibernetinės galimybės iš prigimties yra dvejopos paskirties, todėl rizika priklauso ne vien nuo modelio. Ji taip pat priklauso nuo naudotojo, jį supančių pasitikėjimo signalų(atsidaro naujame lange) ir jam suteikto prieigos lygio.
- Plati prieiga prie bendrųjų modelių su apsaugos priemonėmis gali egzistuoti kartu su detalesne didesnės rizikos galimybių kontrole, kurią palaiko griežtesnė patikra, aiškesni ketinimų signalai ir geresnis naudojimo matomumas.
- Norint užtikrinti atsakingą plataus masto naudojimą, mums reikia sistemų, galinčių patvirtinti patikimus naudotojus ir pritaikymo scenarijus labiau automatizuotais ir objektyvesniais būdais. Tai leidžia mums plėsti prieigą remiantis įrodymais bei realiais pasitikėjimo signalais, užuot kliovusis rankiniu būdu priimamais sprendimais. Nemanome, kad praktiška ar tinkama centralizuotai spręsti, kas turi teisę gintis. Vietoj to, siekiame įgalinti kuo daugiau teisėtų gynėjų, kurių prieiga būtų pagrįsta patikra, pasitikėjimo signalais ir atskaitomybe.
- Gynyba turėtų būti nuolat plečiama kartu su galimybėmis. Augant modelių galimybėms, gynyba taip pat turi plėstis. Pastebime nuolatinį tobulėjimą agentų atliekamame kodo rašyme, o tai turi tiesioginės įtakos kibernetiniam saugumui, todėl mes atitinkamai pritaikėme ir savo požiūrį.
- Specializuotą kibernetinio saugumo mokymą pradėjome taikyti su GPT‑5.2, vėliau šią sritį išplėtėme ir papildomas apsaugos priemones įdiegėme į GPT‑5.3‑Codex ir GPT‑5.4 modelius. Pagal Pasirengimo sistemą šių modelių kibernetines galimybes priskyrėme „aukštam“ lygiui. Kartu padidinome paramą kibernetinės gynybos specialistams: pristatėme 10 mln. JAV dolerių vertės Kibernetinio saugumo dotacijų programą, per programą „Codex for Open Source“(atsidaro naujame lange), teikiančią nemokamą saugumo nuskaitymą, pasiekėme daugiau nei 1 000 atvirojo kodo projektų ir toliau tobulinome „Codex Security“.
- „Codex Security“, kuris prieš pusmetį buvo išleistas kaip privati beta versija, o šių metų pradžioje – kaip bandomoji tyrėjams skirta versija, automatiškai stebi kodo bazes, patvirtina problemas ir siūlo pataisas. Tobulėjant modeliams, didėja ir sistemos tikslumas bei naudingumas. Nuo pat neseniai įvykusio pristatymo „Codex Security“ padėjo pašalinti daugiau nei 3 000 kritinių ir didelio pavojaus pažeidžiamumų, taip pat daugybę mažesnio pavojaus atradimų visoje ekosistemoje.
- Visuose šiuose leidimuose mes taip pat patobulinome tai, kaip modeliai apdoroja jautrias užklausas, kalibruodami atsisakymo vykdyti užklausas ribas ir kartu plėsdami patikimą prieigą per tokias programas kaip TAC.
- Pats programinės įrangos kūrimas turi tapti saugesnis. Stipriausia ekosistema yra ta, kuri kuriant programinę įrangą nuolat nustato, patvirtina ir ištaiso saugumo problemas. Integruodami pažangius kodo rašymo modelius ir agentų galimybes į kūrėjų darbo procesus, mes galime suteikti kūrėjams tiesioginį, praktiškai pritaikomą atgalinį ryšį dar kūrimo etape, taip perkeliant saugumą nuo epizodinio audito bei statinių klaidų aprašų prie nuolatinio, apčiuopiamo rizikos mažinimo.
Norime suteikti kibernetinės gynybos specialistams plačią prieigą prie priešakinių galimybių, įskaitant specialiai kibernetiniam saugumui pritaikytus modelius. Vasario mėnesį pristatėme sistemą „Trusted Access for Cyber“ (TAC), kurioje įdiegtas automatizuotas asmens tapatybės patvirtinimas – tai leidžia sumažinti apsaugos priemonių apribojimus atliekant su kibernetiniu saugumu susijusias užduotis ir bendradarbiauti su ribotu organizacijų skaičiumi naudojant mažiau kibernetinių ribojimų turinčius modelius.
Šiandien plečiame šią programą, pristatydami papildomus prieigos lygius naudotojams, kurie nori bendradarbiauti su „OpenAI“ ir patvirtinti savo, kaip kibernetinio saugumo gynėjų, tapatybę. Aukščiausių lygių klientai gaus prieigą prie „GPT‑5.4‑Cyber“ – modelio, specialiai suderinto papildomoms kibernetinėms galimybėms ir turinčio mažiau apribojimų. Tai GPT‑5.4 versija, kuri nuleidžia atsisakymo vykdyti užklausas ribą teisėtam kibernetinio saugumo darbui ir įgalina naujas galimybes pažangiems gynybiniams darbo procesams, įskaitant dvejetainės sistemos apgrąžos inžinerijos galimybes, leidžiančias saugumo profesionalams analizuoti sukompiliuotą programinę įrangą dėl galimo kenkėjiškumo, pažeidžiamumų ir saugumo patikimumo, nereikalaujant prieigos prie pirminio jos kodo.
Kadangi šis modelis mažiau ribojamas, pradedame nuo riboto ir iteracinio jo diegimo, skirto patikrintiems saugumo paslaugų teikėjams, organizacijoms bei tyrėjams. Prieiga prie mažiau ribojamų ir kibernetinių galimybių turinčių modelių gali būti siejama su tam tikrais apribojimais, ypač kai kalbama apie matomumo nesuteikiantį naudojimą, pavyzdžiui, nulinį duomenų saugojimą(atsidaro naujame lange) (ZDR). Tai ypač aktualu kūrėjams ir organizacijoms, kurie mūsų modelius pasiekia per trečiųjų šalių platformas, kuriose „OpenAI“ gali turėti mažiau tiesioginio matomumo, susijusio su naudotoju, aplinka ar užklausos tikslu.
Gauti prieigą prie TAC – paprasta.
- Pavieniai naudotojai gali patvirtinti savo tapatybę adresu chatgpt.com/cyber(atsidaro naujame lange).
- Įmonės gali paprašyti patikimos prieigos savo komandai per „OpenAI“ atstovą.
Visi per šį procesą patvirtinti klientai gaus prieigą prie esamų modelių versijų, kuriose taikoma mažiau apsaugos priemonių apribojimų. Šie apribojimai galėtų suveikti atliekant dvejopos paskirties kibernetines užduotis, todėl suteikta prieiga leis klientams ir toliau vykdyti saugumo mokymus, apsauginį programavimą bei atsakingą pažeidžiamumų tyrimą. Klientai, jau prisijungę prie TAC ir norintys papildomai patvirtinti savo, kaip teisėtų kibernetinės gynybos specialistų, tapatybę, gali išreikšti susidomėjimą(atsidaro naujame lange) papildomais prieigos lygiais, įskaitant prašymą gauti prieigą prie GPT‑5.4‑Cyber.
Mūsų kibernetinio saugumo gynyba yra daugelį mėnesių trukusio iteracinio tobulinimo rezultatas. Tikime, kad šiandien naudojamos apsaugos priemonės pakankamai sumažina kibernetinę riziką, todėl galime palaikyti platų esamų modelių diegimą. Tikimės, kad šių apsaugos priemonių versijų pakaks būsimiems galingesniems modeliams, tuo tarpu modeliai, kurie yra specialiai išmokyti ir padaryti lankstesniais kibernetinio saugumo darbams, reikalauja griežtesnių diegimo apribojimų bei atitinkamos kontrolės.
Ilgainiui, norint užtikrinti nuolatinį DI saugos pakankamumą kibernetiniame saugume, taip pat tikimės, kad reikės platesnių gynybos priemonių ateities modeliams, kurių galimybės greitai pranoks net ir geriausius šiandienos specialiai tam pritaikytus modelius.


