Dôveryhodný prístup pre novú éru kybernetickej obrany

Rozširujeme náš program Dôveryhodný prístupový program pre kybernetickú obranu (Trusted Access for Cyber – TAC) na tisíce overených individuálnych obrancov a stovky tímov, ktoré sú zodpovedné za ochranu kľúčového softvéru. Už roky budujeme program kybernetickej obrany na princípoch demokratizovaného prístupu, iteratívneho nasadenia a odolnosti ekosystému. V rámci príprav na čoraz výkonnejšie modely od OpenAI v priebehu nasledujúcich mesiacov dolaďujeme naše modely tak, aby umožňovali prípady použitia v oblasti obrannej kybernetickej bezpečnosti. Už dnes začíname variantom GPT‑5.4, ktorý bol vytrénovaný, aby bol kyberneticky permisívny: GPT‑5.4‑Cyber. V tomto príspevku zdieľame, ako očakávame, že náš prístup k rozširovaniu kybernetickej obrany v súlade s rastúcimi schopnosťami modelov bude usmerňovať testovanie a nasadzovanie budúcich verzií.

Postupné využívanie umelej inteligencie urýchľuje prácu obrancov – tých, ktorí sú zodpovední za bezpečnosť systémov, údajov a používateľov – a umožňuje im rýchlejšie nachádzať a riešiť problémy v digitálnej infraštruktúre, na ktorú sa všetci spoliehajú. Podobne sa umelá inteligencia využíva⁠ aj útočníkmi, ktorí sa snažia spôsobiť škodu. Pripravovali sme sa na to. Od roku 2023 podporujeme obrancov prostredníctvom nášho Programu grantov pre kybernetickú bezpečnosť⁠ a posilnili sme ochranné opatrenia prostredníctvom nášho Rámca pripravenosti⁠. V tom istom roku sme začali vyhodnocovať kybernetické schopnosti našich modelov a v roku 2025 sme začali do našich nasadení modelov⁠ zahŕňať kybernetické špecifické ochranné opatrenia⁠(otvorí sa v novom okne). Začiatkom tohto roka sme ďalej rozšírili našu podporu pre obrancov spustením služby Codex Security⁠ na identifikáciu a opravu zraniteľností vo veľkom rozsahu. Náš prístup k tomuto neustálemu rozvoju schopností sa riadi tromi princípmi:

• Demokratizovaný prístup: Naším cieľom je sprístupniť tieto nástroje čo najširšie a zároveň predchádzať ich zneužitiu. Navrhujeme mechanizmy, ktoré zabraňujú svojvoľnému rozhodovaniu o tom, kto získa prístup na oprávnené používanie a kto nie. To znamená používať jasné, objektívne kritériá a metódy – napríklad dôkladné KYC a overovanie identity – na usmernenie toho, kto môže získať prístup⁠ k pokročilejším možnostiam, a postupne tieto procesy automatizovať. V konečnom dôsledku je naším cieľom sprístupniť pokročilé obranné možnosti legitímnym aktérom, veľkým aj malým, vrátane tých, ktorí sú zodpovední za ochranu kritickej infraštruktúry, verejných služieb a digitálnych systémov, od ktorých sú ľudia každý deň závislí.
• Iteratívne nasadenie: Najviac sa učíme opatrným uvádzaním týchto systémov do praxe⁠ a ich postupným zlepšovaním. Keď lepšie chápeme ich schopnosti aj riziká, zodpovedajúcim spôsobom aktualizujeme naše modely a bezpečnostné systémy. To zahŕňa pochopenie odlišných prínosov a rizík konkrétnych modelov, zlepšovanie odolnosti voči narušeniam zabezpečenia a iným nepriateľským útokom a zlepšovanie obranných schopností, a zároveň zmierňovanie škôd. 
• Investovanie do odolnosti ekosystému: Podporujeme a urýchľujeme komunitu obrancov prostredníctvom dôveryhodných prístupových ciest, cielených grantov⁠, príspevkov do open-source bezpečnostných iniciatív⁠(otvorí sa v novom okne) a technológií, ako je Codex Security⁠, ktoré pomáhajú obrancom rýchlejšie nachádzať a opravovať zraniteľnosti. 

Naša stratégia pre odolnosť kybernetickej bezpečnosti a zrýchlenie obranných opatrení

Našou stratégiou kybernetickej bezpečnosti už roky je investovať do výskumu, predchádzať zneužitiu a urýchľovať obrancov. Ako schopnosti modelov pokročili, rozšírili sme naše programy s cieľom dosiahnuť tieto ciele, ktoré vychádzajú z nasledujúcich presvedčení: 

• Kybernetické riziko je už tu a zrýchľuje sa, ale môžeme konať. Digitálna infraštruktúra bola zraniteľná už roky⁠(otvorí sa v novom okne) – ešte predtým, než sa vôbec objavila pokročilá umelá inteligencia. Existujúce modely teraz môžu pomáhať odhaľovať zraniteľnosti, uvažovať v kódových základniach, a podporovať zmysluplné časti kybernetického pracovného postupu. Aktéri hrozieb experimentujú s novými prístupmi založenými na AI. Videli sme, že sofistikované systémy dokážu pri použití väčšieho výpočtového výkonu počas testovania s existujúcimi modelmi vyvolať čoraz silnejšie schopnosti. To znamená, že ochranné opatrenia nemôžu čakať na jeden budúci prah.
  
• Rozšír prístup na základe toho, kto tieto systémy používa a akým spôsobom sa používajú. Kybernetické schopnosti majú vo svojej podstate dvojité využitie, takže riziko neurčuje len samotný model. Závisí to aj od používateľa, signálov dôvery⁠(otvorí sa v novom okne) v ich okolí a od úrovne prístupu, ktorá im je udelená.
  • Široký prístup k všeobecným modelom s ochrannými opatreniami môže fungovať spolu s podrobnejším riadením rizikovejších schopností, ktoré sú podporené dôkladnejším overovaním, jasnejšími signálmi zámeru a lepšou prehľadnosťou používania.
  • Aby sme umožnili zodpovedné používanie vo veľkom rozsahu, potrebujeme systémy, ktoré dokážu overovať dôveryhodných používateľov a prípady použitia automatizovanejšími a objektívnejšími spôsobmi. To nám umožňuje rozširovať prístup na základe dôkazov a skutočných signálov dôvery, namiesto spoliehania sa na manuálne rozhodnutia. Nemyslíme si, že je praktické ani vhodné centrálne rozhodovať o tom, kto má mať možnosť brániť sa. Namiesto toho je naším cieľom umožniť čo najväčšiemu počtu legitímnych obrancov prístup založený na overovaní, signáloch dôveryhodnosti a zodpovednosti.
    
• Obranné opatrenia by sa mali neustále prispôsobovať schopnostiam. Ako sa schopnosti modelu zvyšujú, obranné opatrenia sa musia prispôsobovať. Zaznamenali sme stabilné zlepšovanie v agentickom kódovaní, ktoré má priamy vplyv na kybernetickú bezpečnosť, a tomu sme prispôsobili náš prístup.
  • Začali sme s bezpečnostným školením špecifickým pre kybernetickú oblasť s GPT‑5.2, potom sme ho rozšírili o ďalšie ochranné opatrenia prostredníctvom GPT‑5.3‑Codex a GPT‑5.4, kde sme tiež klasifikovali model ako „vysoko“ kyberneticky spôsobilý v rámci našej pripravenosti. Súbežne sme zvýšili podporu pre obrancov: spustili sme grantový program v oblasti kybernetickej bezpečnosti v hodnote 10 mil. USD⁠, oslovili sme viac ako 1 000 open source projektov prostredníctvom Codex pre Open Source⁠(otvorí sa v novom okne), ktorý poskytuje bezplatné bezpečnostné skenovanie, a ďalej sme zlepšovali Codex Security.
  • Codex Security, ktorý bol spustený v súkromnej beta verzii pred šiestimi mesiacmi a ako výskumná ukážka začiatkom tohto roka⁠, automaticky monitoruje kódové základne, overuje problémy a navrhuje opravy. Ako sa modely zlepšovali, zlepšovala sa aj presnosť a užitočnosť systému. Od nedávneho spustenia Codex Security prispel k oprave viac ako 3 000 kritických a vysoko závažných opravených zraniteľností a mnohých ďalších opravených zistení s nižšou závažnosťou v celom ekosystéme.
  • V rámci týchto vydaní sme tiež zdokonalili spôsob, akým modely spracúvajú citlivé požiadavky, kalibrovali hranice odmietania a zároveň rozširovali dôveryhodný prístup prostredníctvom programov, ako je TAC.
    
• Samotný vývoj softvéru musí byť bezpečnejší. Najsilnejší ekosystém je ten, ktorý už počas vývoja softvéru nepretržite identifikuje, overuje a odstraňuje bezpečnostné problémy. Integráciou pokročilých modelov na kódovanie a agentických schopností do vývojových pracovných postupov môžeme vývojárom poskytovať okamžitú, konkrétnu spätnú väzbu počas vývoja a presúvať bezpečnosť od sporadických auditov a statických zoznamov chýb k priebežnému hmatateľnému znižovaniu rizika.
  

Chceme posilniť ochrancov tým, že im dáme široký prístup k prelomovým schopnostiam vrátane modelov ušitých na mieru pre kybernetickú bezpečnosť. Vo februári sme predstavili Dôveryhodný prístupový program pre kybernetickú obranu⁠ (TAC), ktorý zahŕňa automatizované overovanie identity jednotlivcov, aby sme znížili zaťaž spôsobenú ochrannými opatreniami pri úlohách súvisiacich s kybernetickou bezpečnosťou, a partnerstvá s obmedzeným počtom organizácií pre modely, ktoré sú pre kyberbezpečnostné použitie permisívnejšie.

Dnes rozširujeme tento program zavedením ďalších úrovní prístupu pre používateľov, ktorí sú ochotní spolupracovať so spoločnosťou OpenAI na overení svojej identity ako obrancov kybernetickej bezpečnosti. Zákazníci v najvyšších úrovniach získajú prístup k modelu GPT‑5.4‑Cyber, ktorý bol zámerne doladený na dodatočné kybernetické schopnosti a má menej obmedzení. Toto je verzia GPT‑5.4, ktorá znižuje hranicu odmietania pri legitímnej práci v oblasti kybernetickej bezpečnosti a umožňuje nové možnosti pre pokročilé obranné pracovné postupy, vrátane možností reverzného inžinierstva binárnych súborov. Tieto možnosti umožňujú bezpečnostným profesionálom analyzovať skompilovaný softvér z hľadiska potenciálu malvéru, zraniteľností a odolnosti zabezpečenia, a to bez potreby prístupu k jeho zdrojovému kódu.

Keďže je tento model viac permisívny, začíname s obmedzeným, iteratívnym nasadením pre overených dodávateľov bezpečnostných riešení, organizácie a výskumníkov. Prístup k permisívnym modelom a modelom so schopnosťami v oblasti kybernetiky môže byť spojený s obmedzeniami, najmä pri použitiach bez viditeľnosti, ako je nulové uchovávanie údajov⁠(otvorí sa v novom okne) (ZDR). To platí najmä pre vývojárov a organizácie, ktoré pristupujú k našim modelom prostredníctvom platforiem tretích strán, kde OpenAI môže mať menší priamy prehľad o používateľovi, prostredí alebo účele požiadavky. 

Získanie prístupu k TAC je jednoduché:

• Jednotliví používatelia si môžu overiť svoju totožnosť na adrese chatgpt.com/cyber⁠(otvorí sa v novom okne). 
• Podniky môžu požiadať o dôveryhodný prístup⁠ pre svoj tím cez svojho zástupcu OpenAI. 

Všetci zákazníci schválení týmto procesom získajú prístup k verziám existujúcich modelov s menšími obmedzeniami ochranných opatrení, ktoré by sa mohli aktivovať pri kybernetickej činnosti s dvojakým použitím. To im umožní naďalej podporovať bezpečnostné vzdelávanie, obranné programovanie a zodpovedný výskum zraniteľností. Zákazníci, ktorí už sú v programe TAC a chcú sa ďalej overiť ako legitímni obrancovia kybernetickej bezpečnosti, môžu prejaviť záujem⁠(otvorí sa v novom okne) o ďalšie úrovne prístupu vrátane žiadosti o prístup k GPT‑5.4‑Cyber.

Naše obranné opatrenia v oblasti kybernetickej bezpečnosti sú výsledkom mnohomesačného iteratívneho zlepšovania. Domnievame sa, že trieda ochranných opatrení, ktoré sa dnes používajú, dostatočne znižuje kybernetické riziko natoľko, aby podporovala široké nasadenie súčasných modelov. Očakávame, že verzie týchto ochranných opatrení budú postačovať pre nadchádzajúce výkonnejšie modely, zatiaľ čo modely výslovne trénované a nastavené tak, aby boli pre prácu v oblasti kybernetickej bezpečnosti viac povoľujúce, vyžadujú reštriktívnejšie nasadenie a primerané kontroly.

Z dlhodobého hľadiska očakávame potrebu rozsiahlejších obranných opatrení pre budúce modely, ktorých schopnosti rýchlo prekonajú aj tie najlepšie účelovo navrhnuté modely súčasnosti. Tieto opatrenia sú nevyhnutné na zabezpečenie trvalej bezpečnosti AI v oblasti kybernetickej bezpečnosti.