Pular para o conteúdo principal
OpenAI

14 de abril de 2026

SegurançaSegurança

Acesso confiável para a próxima era da ciberdefesa

Continuamos a evoluir o acesso confiável, as salvaguardas e o suporte ao ecossistema para ajudar defensores de cibersegurança a proteger a todos nós.

Carregando…

Estamos ampliando nosso programa Trusted Access for Cyber (TAC) para milhares de defensores individuais verificados e centenas de equipes responsáveis por proteger software crítico. Há anos, estamos construindo um programa de ciberdefesa baseado nos princípios de acesso democratizado, implantação iterativa e resiliência do ecossistema. Em preparação para modelos cada vez mais capazes da OpenAI nos próximos meses, estamos fazendo o ajuste fino dos nossos modelos especificamente para permitir casos de uso defensivos de cibersegurança, começando hoje com uma variante do GPT‑5.4 treinada para ser permissiva para cibersegurança: GPT‑5.4‑Cyber. Neste post, compartilhamos como esperamos que nossa abordagem de escalar a ciberdefesa em sincronia com o aumento das capacidades do modelo oriente os testes e a implantação de futuras versões.

O uso progressivo da IA acelera defensores — aqueles responsáveis por manter sistemas, dados e usuários seguros —, permitindo que encontrem e corrijam problemas mais rápido na infraestrutura digital da qual todos dependem. Da mesma forma, a IA está sendo usada por atacantes que buscam causar danos. Estamos nos preparando para isso. Desde 2023, apoiamos defensores por meio do nosso Cybersecurity Grant Program e fortalecemos salvaguardas por meio do nosso Preparedness Framework. No mesmo ano, começamos a avaliar as capacidades cibernéticas dos nossos modelos e, em 2025, começamos a incluir salvaguardas específicas para cibersegurança(abre em uma nova janela) em nossas implantações de modelos. No início deste ano, ampliamos nosso apoio a defensores com o lançamento do Codex Security para identificar e corrigir vulnerabilidades em escala. Nossa abordagem para esse avanço contínuo de capacidades é orientada por três princípios:

  • Acesso democratizado: nosso objetivo é tornar essas ferramentas tão amplamente disponíveis quanto possível, evitando o uso indevido. Criamos mecanismos que evitam decidir arbitrariamente quem recebe acesso para uso legítimo e quem não recebe. Isso significa usar critérios e métodos claros e objetivos — como KYC robusto e verificação de identidade — para orientar quem pode acessar capacidades mais avançadas e automatizar esses processos ao longo do tempo. Em última instância, buscamos disponibilizar capacidades defensivas avançadas a atores legítimos grandes e pequenos, incluindo aqueles responsáveis por proteger infraestrutura crítica, serviços públicos e os sistemas digitais dos quais as pessoas dependem todos os dias.
  • Implantação iterativa: aprendemos mais ao colocar esses sistemas no mundo com cuidado e aprimorá-los ao longo do tempo. À medida que entendemos melhor suas capacidades e riscos, atualizamos nossos modelos e sistemas de segurança de acordo. Isso inclui entender os benefícios e riscos diferenciados de modelos específicos, melhorar a resiliência a jailbreaks e outros ataques adversariais e aprimorar capacidades defensivas — ao mesmo tempo em que mitigamos danos. 
  • Investimento em resiliência do ecossistema: apoiamos e aceleramos a comunidade de defensores por meio de caminhos de acesso confiável, subsídios direcionados, contribuições para iniciativas de segurança de código aberto(abre em uma nova janela) e tecnologias como o Codex Security, que ajudam defensores a encontrar e corrigir vulnerabilidades mais rapidamente. 

Nossa estratégia para resiliência em cibersegurança e aceleração defensiva

Há anos, nossa estratégia de cibersegurança é investir em pesquisa, prevenir o uso indevido e acelerar os defensores. À medida que as capacidades dos modelos avançaram, expandimos nossos programas em direção a esses objetivos, que se baseiam nas seguintes convicções:

  • O risco cibernético já está aqui e está acelerando, mas podemos agir.A infraestrutura digital já era vulnerável(abre em uma nova janela) havia anos, antes mesmo da chegada da IA avançada. Agora, modelos existentes podem ajudar a encontrar vulnerabilidades, raciocinar entre bases de código e apoiar partes significativas do fluxo de trabalho cibernético, enquanto agentes de ameaça experimentam novas abordagens impulsionadas por IA. Vimos harnesses sofisticados extrair capacidades cada vez mais fortes usando mais computação em tempo de teste com modelos existentes. Isso significa que salvaguardas não podem esperar por um único limiar futuro.
  • Expandir o acesso com base em quem está usando esses sistemas e em como eles estão sendo usados.Capacidades cibernéticas são inerentemente de uso dual, então o risco não é definido apenas pelo modelo. Ele também depende do usuário, dos sinais de confiança(abre em uma nova janela) ao redor dele e do nível de acesso concedido.
    • O amplo acesso a modelos gerais com salvaguardas pode coexistir com controles mais granulares para capacidades de maior risco, apoiados por verificação mais robusta, sinais de intenção mais claros e maior visibilidade sobre o uso.
    • Para permitir o uso responsável em escala, precisamos de sistemas que possam validar usuários e casos de uso confiáveis de maneira mais automatizada e objetiva. Isso nos permite ampliar o acesso com base em evidências e sinais reais de confiança, em vez de depender de decisões manuais. Não achamos prático nem apropriado decidir de forma centralizada quem pode se defender. Em vez disso, buscamos permitir que o maior número possível de defensores legítimos tenha acesso, ancorado em verificação, sinais de confiança e responsabilização.
  • As defesas devem escalar continuamente com a capacidade. À medida que as capacidades dos modelos aumentam, as defesas precisam escalar junto com elas. Vimos melhorias consistentes na programação com agentes, com implicações diretas para a cibersegurança, e ajustamos nossa abordagem em paralelo.
    • Começamos o treinamento de segurança específico para cibersegurança com o GPT‑5.2 e, depois, o expandimos com salvaguardas adicionais por meio do GPT‑5.3‑Codex e do GPT‑5.4, no qual também classificamos o modelo como de capacidade cibernética “alta” sob nosso Preparedness Framework. Em paralelo, aumentamos o apoio a defensores: lançamos um Cybersecurity Grant Program de US$ 10 milhões, alcançamos mais de 1.000 projetos open source com o Codex for Open Source(abre em uma nova janela), que oferece varredura de segurança gratuita, e continuamos aprimorando o Codex Security.
    • O Codex Security, lançado em beta privado há seis meses e em prévia de pesquisa no início deste ano, monitora automaticamente bases de código, valida problemas e propõe correções. À medida que os modelos melhoraram, a precisão e a utilidade do sistema também melhoraram. Desde o lançamento recente, o Codex Security contribuiu para a correção de mais de 3.000 vulnerabilidades críticas e altas, além de muitas outras descobertas corrigidas de menor gravidade em todo o ecossistema.
    • Ao longo dessas versões, também refinamos como os modelos lidam com solicitações sensíveis, calibrando os limites de recusa enquanto ampliamos o acesso confiável por meio de programas como o TAC.
  • O próprio desenvolvimento de software precisa ser mais seguro.O ecossistema mais forte é aquele que identifica, valida e corrige continuamente problemas de segurança à medida que o software é escrito. Ao integrar modelos avançados de codificação e capacidades de agentes aos fluxos de trabalho de desenvolvimento, podemos oferecer aos desenvolvedores feedback imediato e acionável enquanto constroem, deslocando a segurança de auditorias pontuais e inventários estáticos de bugs para uma redução contínua e concreta de riscos.

Expandindo o Trusted Access for Cyber e o GPT‑5.4‑Cyber

Queremos capacitar defensores oferecendo amplo acesso a capacidades de fronteira, incluindo modelos criados sob medida para cibersegurança. Em fevereiro, apresentamos o Trusted Access for Cyber (TAC), com verificação automatizada de identidade para indivíduos a fim de reduzir o atrito das salvaguardas em tarefas relacionadas à cibersegurança, e parceria com um conjunto limitado de organizações para modelos mais permissivos em cibersegurança.

Hoje, estamos expandindo esse programa ao introduzir níveis adicionais de acesso para usuários dispostos a trabalhar com a OpenAI para se autenticarem como defensores de cibersegurança. Clientes nos níveis mais altos terão acesso ao GPT‑5.4‑Cyber, um modelo ajustado especificamente para ampliar capacidades cibernéticas e com menos restrições de capacidade. Esta é uma versão do GPT‑5.4 que reduz o limiar de recusa para trabalho legítimo de cibersegurança e habilita novas capacidades para fluxos de trabalho defensivos avançados, incluindo capacidades de engenharia reversa de binários que permitem a profissionais de segurança analisar software compilado quanto a potencial de malware, vulnerabilidades e robustez de segurança, sem precisar ter acesso ao código-fonte.

Como este modelo é mais permissivo, estamos começando com uma implantação limitada e iterativa para fornecedores de segurança, organizações e pesquisadores avaliados. O acesso a modelos permissivos e capazes em cibersegurança pode vir com limitações, especialmente em usos sem visibilidade, como Zero-Data Retention(abre em uma nova janela) (ZDR). Isso é particularmente verdadeiro para desenvolvedores e organizações que acessam nossos modelos por meio de plataformas de terceiros, nas quais a OpenAI pode ter menos visibilidade direta sobre o usuário, o ambiente ou a finalidade da solicitação. 

Obter acesso ao TAC é simples:

Todos os clientes aprovados por esse processo receberão acesso a versões de modelos existentes com menos atrito em torno de salvaguardas que poderiam ser acionadas por atividade cibernética de uso dual, permitindo que continuem apoiando educação em segurança, programação defensiva e pesquisa responsável de vulnerabilidades. Clientes que já estão no TAC e que desejam se autenticar ainda mais como defensores cibernéticos legítimos podem manifestar interesse(abre em uma nova janela) em níveis adicionais de acesso, incluindo solicitar acesso ao GPT‑5.4‑Cyber.

Olhando para o nosso próximo lançamento de modelo e além

Nossas defesas de cibersegurança são resultado de muitos meses de melhorias iterativas. Acreditamos que a classe de salvaguardas em uso hoje reduz o risco cibernético o suficiente para apoiar a ampla implantação dos modelos atuais. Esperamos que versões dessas salvaguardas sejam suficientes para modelos futuros mais poderosos, enquanto modelos treinados explicitamente e tornados mais permissivos para trabalho de cibersegurança exigem implantações mais restritivas e controles apropriados.

No longo prazo, para garantir que a segurança de IA em cibersegurança continue sendo suficiente, também esperamos a necessidade de defesas mais abrangentes para modelos futuros, cujas capacidades rapidamente superarão até mesmo os melhores modelos específicos de hoje.

Autoria

OpenAI