Acces de încredere pentru următoarea eră a apărării cibernetice
Continuăm să dezvoltăm accesul de încredere, măsurile de protecție și sprijinul pentru ecosistem pentru a-i ajuta pe apărătorii cibernetici să ne protejeze pe toți.
Extindem programul nostru Trusted Access for Cyber (TAC) către mii de apărători individuali verificați și sute de echipe responsabile de apărarea software-ului critic. De ani de zile, construim un program de apărare cibernetică bazat pe principiile accesului democratizat, implementării iterative și rezilienței ecosistemului. În pregătirea unor modele OpenAI din ce în ce mai capabile în următoarele luni, ne ajustăm fin modelele special pentru a permite cazuri de utilizare defensive în securitatea cibernetică, începând de astăzi cu o variantă de GPT‑5.4 antrenată să fie permisivă din punct de vedere cibernetic: GPT‑5.4‑Cyber. În această postare, prezentăm cum ne așteptăm ca abordarea noastră de extindere a apărării cibernetice în pas cu creșterea capabilităților modelelor să ghideze testarea și implementarea lansărilor viitoare.
Utilizarea progresivă a AI îi accelerează pe apărători — cei responsabili de menținerea în siguranță a sistemelor, datelor și utilizatorilor — permițându-le să găsească și să remedieze probleme mai rapid în infrastructura digitală pe care se bazează toată lumea. În mod similar, AI este folosită de atacatori care urmăresc să provoace daune. Ne-am pregătit pentru asta. Din 2023, i-am sprijinit pe apărători prin Programul nostru de granturi pentru securitate cibernetică și am consolidat măsurile de protecție prin Cadrul de pregătire. În același an, am început să evaluăm capabilitățile cibernetice ale modelelor noastre, iar în 2025 am început să includem măsuri de protecție specifice domeniului cibernetic(se deschide într-o fereastră nouă) în implementările noastre de modele. La începutul acestui an, ne-am extins sprijinul pentru apărători prin lansarea Codex Security pentru a identifica și remedia vulnerabilități la scară. Abordarea noastră față de această avansare continuă a capabilităților este ghidată de trei principii:
- Acces democratizat: obiectivul nostru este să facem aceste instrumente disponibile cât mai larg posibil, prevenind în același timp utilizarea abuzivă. Proiectăm mecanisme care evită să decidă arbitrar cine primește acces pentru utilizare legitimă și cine nu. Asta înseamnă folosirea unor criterii și metode clare, obiective — precum KYC solid și verificarea identității — pentru a ghida cine poate accesa capabilități mai avansate și automatizarea acestor procese în timp. În cele din urmă, urmărim să punem capabilități defensive avansate la dispoziția actorilor legitimi, mari și mici, inclusiv a celor responsabili de protejarea infrastructurii critice, serviciilor publice și sistemelor digitale de care oamenii depind zilnic.
- Implementare iterativă: învățăm cel mai mult introducând aceste sisteme în lume cu grijă și îmbunătățindu-le în timp. Pe măsură ce înțelegem mai bine atât capabilitățile, cât și riscurile lor, ne actualizăm modelele și sistemele de siguranță în consecință. Aceasta include înțelegerea beneficiilor și riscurilor diferențiate ale modelelor specifice, îmbunătățirea rezilienței la jailbreak-uri și alte atacuri adverse și îmbunătățirea capabilităților defensive — reducând în același timp daunele.
- Investiții în reziliența ecosistemului: sprijinim și accelerăm comunitatea apărătorilor prin căi de acces de încredere, granturi țintite, contribuții la inițiative de securitate open-source(se deschide într-o fereastră nouă) și tehnologii precum Codex Security care îi ajută pe apărători să găsească și să corecteze vulnerabilități mai rapid.
Strategia noastră pentru reziliență în securitatea cibernetică și accelerarea apărării
De ani de zile, strategia noastră de securitate cibernetică a fost să investim în cercetare, să prevenim utilizarea abuzivă și să accelerăm apărătorii. Pe măsură ce capabilitățile modelelor au avansat, ne-am extins programele către aceste obiective, care se bazează pe următoarele convingeri:
- Riscul cibernetic este deja aici și se accelerează, dar putem acționa. Infrastructura digitală a fost deja vulnerabilă(se deschide într-o fereastră nouă) de ani de zile, chiar înainte de apariția AI avansate. Acum, modelele existente pot ajuta la găsirea vulnerabilităților, la raționament asupra bazelor de cod și la susținerea unor părți semnificative ale fluxului de lucru cibernetic, iar actorii de amenințare experimentează abordări noi bazate pe AI. Am văzut infrastructuri sofisticate care obțin capabilități tot mai puternice folosind mai multă putere de calcul la testare cu modelele existente. Asta înseamnă că măsurile de protecție nu pot aștepta un singur prag viitor.
- Extinde accesul în funcție de cine folosește aceste sisteme și cum sunt ele folosite. Capabilitățile cibernetice sunt în mod inerent cu dublă utilizare, așa că riscul nu este definit doar de model. El depinde și de utilizator, de semnalele de încredere(se deschide într-o fereastră nouă) din jurul acestuia și de nivelul de acces care îi este acordat.
- Accesul larg la modele generale cu măsuri de protecție poate coexista cu controale mai granulare pentru capabilități cu risc mai ridicat, susținute de verificare mai puternică, semnale mai clare de intenție și vizibilitate mai bună asupra utilizării.
- Pentru a permite utilizarea responsabilă la scară, avem nevoie de sisteme care pot valida utilizatorii și cazurile de utilizare de încredere în moduri mai automatizate și mai obiective. Acest lucru ne permite să extindem accesul pe baza dovezilor și a semnalelor reale de încredere, în loc să ne bazăm pe decizii manuale. Nu credem că este practic sau potrivit să decidem centralizat cine are voie să se apere. În schimb, urmărim să le permitem accesul cât mai multor apărători legitimi, cu acces bazat pe verificare, semnale de încredere și responsabilitate.
- Apărările ar trebui extinse continuu odată cu capabilitatea. Pe măsură ce capabilitățile modelelor cresc, și apărările trebuie să crească odată cu ele. Am observat îmbunătățiri constante în programarea agentivă, care au implicații directe pentru securitatea cibernetică, și ne-am adaptat abordarea în consecință.
- Am început instruirea de siguranță specifică domeniului cibernetic cu GPT‑5.2, apoi am extins-o cu măsuri de protecție suplimentare prin GPT‑5.3‑Codex și GPT‑5.4, unde am clasificat modelul și ca având capabilitate cibernetică „ridicată” în cadrul Cadrului nostru de pregătire. În paralel, am crescut sprijinul pentru apărători: am lansat un Program de granturi pentru securitate cibernetică de 10 milioane de dolari, am ajuns la peste 1.000 de proiecte open source cu Codex for Open Source(se deschide într-o fereastră nouă), care oferă scanare gratuită de securitate, și am continuat să îmbunătățim Codex Security.
- Codex Security, lansat în beta privat acum șase luni și ca previzualizare de cercetare mai devreme în acest an, monitorizează automat bazele de cod, validează problemele și propune remedieri. Pe măsură ce modelele s-au îmbunătățit, s-au îmbunătățit și precizia și utilitatea sistemului. De la lansarea recentă, Codex Security a contribuit la remedierea a peste 3.000 de vulnerabilități critice și de severitate ridicată, împreună cu multe alte constatări remediate de severitate mai mică în întregul ecosistem.
- De-a lungul acestor lansări, am rafinat și modul în care modelele gestionează solicitările sensibile, calibrând limitele de refuz și extinzând în același timp accesul de încredere prin programe precum TAC.
- Dezvoltarea software în sine trebuie făcută mai sigură. Cel mai puternic ecosistem este unul care identifică, validează și remediază continuu problemele de securitate pe măsură ce software-ul este scris. Prin integrarea modelelor avansate de programare și a capabilităților agentive în fluxurile de lucru ale dezvoltatorilor, le putem oferi dezvoltatorilor feedback imediat și aplicabil în timp ce construiesc, mutând securitatea de la audituri episodice și inventare statice de buguri la reducerea continuă și concretă a riscului.
Vrem să le oferim apărătorilor putere prin acces larg la capabilități de frontieră, inclusiv modele create special pentru securitatea cibernetică. În februarie, am introdus Trusted Access for Cyber (TAC), cu verificare automată a identității pentru persoane fizice, pentru a reduce fricțiunea măsurilor de protecție în sarcinile legate de securitatea cibernetică, și am colaborat cu un set limitat de organizații pentru modele mai permisive din punct de vedere cibernetic.
Astăzi extindem acest program prin introducerea unor niveluri suplimentare de acces pentru utilizatorii dispuși să colaboreze cu OpenAI pentru a se autentifica drept apărători ai securității cibernetice. Clienții din nivelurile cele mai înalte vor primi acces la GPT‑5.4‑Cyber, un model ajustat fin în mod intenționat pentru capabilități cibernetice suplimentare și cu mai puține restricții de capabilitate. Aceasta este o versiune a GPT‑5.4 care reduce pragul de refuz pentru activitatea legitimă de securitate cibernetică și permite capabilități noi pentru fluxuri de lucru defensive avansate, inclusiv capabilități de inginerie inversă binară care le permit profesioniștilor în securitate să analizeze software compilat pentru potențial malware, vulnerabilități și robustețe de securitate fără a avea nevoie de acces la codul sursă.
Deoarece acest model este mai permisiv, începem cu o implementare limitată și iterativă pentru furnizori de securitate, organizații și cercetători verificați. Accesul la modele permisive și capabile cibernetic poate veni cu limitări, în special în jurul utilizărilor fără vizibilitate, precum Zero-Data Retention(se deschide într-o fereastră nouă) (ZDR). Acest lucru este valabil mai ales pentru dezvoltatorii și organizațiile care accesează modelele noastre prin platforme terțe, unde OpenAI poate avea mai puțină vizibilitate directă asupra utilizatorului, mediului sau scopului solicitării.
Obținerea accesului la TAC este simplă:
- Utilizatorii individuali își pot verifica identitatea la chatgpt.com/cyber(se deschide într-o fereastră nouă).
- Companiile pot solicita acces de încredere pentru echipa lor prin reprezentantul OpenAI.
Toți clienții aprobați prin acest proces vor obține acces la versiuni ale modelelor existente cu fricțiune redusă în jurul măsurilor de protecție care s-ar putea activa pentru activitate cibernetică cu dublă utilizare, permițându-le să continue să susțină educația în securitate, programarea defensivă și cercetarea responsabilă a vulnerabilităților. Clienții deja incluși în TAC care sunt dispuși să se autentifice suplimentar ca apărători cibernetici legitimi își pot exprima interesul(se deschide într-o fereastră nouă) pentru niveluri suplimentare de acces, inclusiv pentru a solicita acces la GPT‑5.4‑Cyber.
Apărările noastre de securitate cibernetică sunt rezultatul multor luni de îmbunătățire iterativă. Credem că tipul de măsuri de protecție folosit astăzi reduce suficient riscul cibernetic pentru a susține implementarea largă a modelelor actuale. Ne așteptăm ca versiuni ale acestor măsuri de protecție să fie suficiente și pentru viitoarele modele mai puternice, în timp ce modelele antrenate explicit și făcute mai permisive pentru activitatea de securitate cibernetică necesită implementări mai restrictive și controale adecvate.
Pe termen lung, pentru a asigura suficiența continuă a siguranței AI în securitatea cibernetică, ne așteptăm și la nevoia unor apărări mai extinse pentru modelele viitoare, ale căror capabilități vor depăși rapid chiar și cele mai bune modele special concepute de astăzi.


