การเข้าถึงที่เชื่อถือได้สำหรับยุคใหม่ของการป้องกันภัยไซเบอร์

เรากำลังขยายโครงการ Trusted Access for Cyber (TAC) เพื่อสนับสนุนเหล่านักป้องกันภัยรายบุคคลที่ผ่านการยืนยันตัวตนหลายพันคน และทีมดูแลความปลอดภัยซอฟต์แวร์สำคัญอีกหลายร้อยทีม ตลอดหลายปีที่ผ่านมา เราสร้างโครงการป้องกันไซเบอร์โดยยึดหลักการเข้าถึงที่ทั่วถึง การปรับใช้แบบต่อเนื่อง และความยืดหยุ่นของระบบนิเวศ เพื่อเตรียมรับมือกับโมเดลที่มีความสามารถสูงขึ้นในอีกไม่กี่เดือนข้างหน้า เราจึงพัฒนาโมเดลให้เหมาะกับการป้องกันไซเบอร์โดยเฉพาะ และเริ่มเปิดตัว GPT‑5.4‑Cyber ซึ่งเป็นรุ่นที่ปรับแต่งมาเพื่อใช้งานด้านไซเบอร์ได้เต็มที่ในวันนี้ ในบทความนี้เราจะมาแชร์แนวทางการขยายระบบป้องกันไซเบอร์ควบคู่ไปกับการเพิ่มความสามารถของโมเดล เพื่อเป็นแนวทางในการทดสอบและใช้งานโมเดลรุ่นใหม่ในอนาคต

การใช้ AI อย่างต่อเนื่องช่วยให้เหล่านักป้องกัน หรือผู้ดูแลความปลอดภัยของระบบ ข้อมูล และผู้ใช้ ทำงานได้รวดเร็วขึ้น จนสามารถหาและแก้ไขปัญหาในโครงสร้างพื้นฐานดิจิทัลที่ทุกคนใช้งานอยู่ได้อย่างทันท่วงที ในทำนองเดียวกัน AI ก็กำลังถูกนำมาใช้⁠ โดยผู้ไม่หวังดีที่มุ่งสร้างภัยอันตราย เราเตรียมตัวรับมือกับเรื่องนี้มาโดยตลอด ตั้งแต่ปี พ.ศ. 2566 เราสนับสนุนเหล่านักป้องกันผ่านโครงการมอบทุนด้านความปลอดภัยไซเบอร์⁠ และเสริมสร้างมาตรการคุ้มครองผ่านกรอบการเตรียมความพร้อม⁠ของเรา ในปีเดียวกันนั้นเราเริ่มประเมินความสามารถด้านไซเบอร์ของโมเดลของเรา และในปี 2568 เราได้เริ่มรวบรวมมาตรการป้องกันเฉพาะด้านไซเบอร์⁠(เปิดในหน้าต่างใหม่) เอาไว้ในการนำโมเดลไปใช้งาน⁠ของเรา เมื่อต้นปีนี้เราได้ขยายการสนับสนุนแก่ผู้พิทักษ์ความปลอดภัยเพิ่มเติมด้วยการเปิดตัว Codex Security⁠ เพื่อช่วยระบุและแก้ไขช่องโหว่ได้ในวงกว้าง เรายึดถือหลักการ 3 ประการในการขับเคลื่อนขีดความสามารถให้ก้าวหน้าอย่างต่อเนื่องดังนี้

• การเข้าถึงแบบเปิดกว้าง: เป้าหมายของเราคือทำให้เครื่องมือเหล่านี้เข้าถึงได้อย่างกว้างขวางที่สุด พร้อมป้องกันการใช้งานในทางที่ผิด เราออกแบบกลไกเพื่อหลีกเลี่ยงการตัดสินอย่างตามใจชอบว่าใครควรหรือไม่ควรมีสิทธิ์ใช้งาน เพื่อให้ทุกคนที่มีจุดประสงค์การใช้งานที่เหมาะสมได้รับสิทธิ์การเข้าถึงอย่างเท่าเทียม นั่นหมายถึงการใช้เกณฑ์และวิธีการที่ชัดเจนและเป็นกลาง เช่น ระบบ KYC ที่เข้มงวดและการยืนยันตัวตน เพื่อคัดกรองผู้ที่สามารถเข้าถึง⁠ความสามารถระดับสูง และใช้ระบบอัตโนมัติเข้ามาจัดการกระบวนการเหล่านี้ในระยะยาว เป้าหมายสูงสุดของเราคือการทำให้ขีดความสามารถด้านการป้องกันขั้นสูงเข้าถึงได้สำหรับผู้มีบทบาทที่ชอบด้วยกฎหมายทั้งรายใหญ่และรายเล็ก รวมถึงผู้ที่มีหน้าที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานที่สำคัญ บริการสาธารณะ และระบบดิจิทัลที่ผู้คนต้องพึ่งพาในทุกวัน
• การปรับใช้แบบวนรอบ: เราให้ความสำคัญกับการเรียนรู้ผ่านการใช้งานจริงอย่างค่อยเป็นค่อยไป ⁠เพื่อนำข้อมูลมาใช้ปรับปรุงระบบให้สมบูรณ์ยิ่งขึ้น เมื่อเราเข้าใจทั้งความสามารถและความเสี่ยงของโมเดลดีขึ้น เราจะปรับปรุงโมเดลและระบบความปลอดภัยให้สอดคล้องกัน สิ่งนี้รวมถึงการทำความเข้าใจข้อดีและความเสี่ยงที่แตกต่างกันในแต่ละโมเดล การสร้างภูมิคุ้มกันต่อการเจลเบรคและการโจมตีรูปแบบอื่น ตลอดจนการยกระดับการป้องกันควบคู่ไปกับการลดผลกระทบที่อาจเกิดขึ้น
• การลงทุนเพื่อเสริมสร้างความยืดหยุ่นของระบบนิเวศ: เราสนับสนุนและผลักดันเครือข่ายนักป้องกันผ่านช่องทางเข้าถึงที่เชื่อถือได้ การมอบทุน⁠เฉพาะด้าน การร่วมพัฒนาความมั่นคงปลอดภัยแบบโอเพนซอร์ส⁠(เปิดในหน้าต่างใหม่) และเทคโนโลยีอย่าง Codex Security⁠ ที่ช่วยให้นักป้องกันตรวจพบและแก้ไขจุดอ่อนได้อย่างรวดเร็ว

กลยุทธ์ของเราสำหรับสร้างความยืดหยุ่นทางไซเบอร์และเร่งขีดความสามารถด้านการป้องกัน

ตลอดหลายปีที่ผ่านมากลยุทธ์ด้านความปลอดภัยไซเบอร์ของเราคือการลงทุนในงานวิจัย การป้องกันการใช้งานที่ผิดวัตถุประสงค์ และการสนับสนุนเหล่านักป้องกันให้ทำงานได้รวดเร็วขึ้น เมื่อโมเดลมีความสามารถสูงขึ้น เราจึงขยายขอบเขตโครงการต่างๆ เพื่อบรรลุเป้าหมายเหล่านี้ โดยยึดตามความเชื่อมั่นดังต่อไปนี้ 

• ความเสี่ยงทางไซเบอร์เกิดขึ้นแล้วและกำลังทวีความรุนแรงขึ้น แต่เรายังรับมือได้โครงสร้างพื้นฐานดิจิทัลมีความเปราะบาง⁠(เปิดในหน้าต่างใหม่)มานานหลายปีแล้ว ก่อนที่ AI ขั้นสูงจะเข้ามามีบทบาทเสียอีก ปัจจุบันเราใช้โมเดลที่มีอยู่เพื่อหาจุดบกพร่อง ทำความเข้าใจโครงสร้างโค้ด และช่วยงานด้านความปลอดภัยไซเบอร์ได้ในหลายขั้นตอน ขณะเดียวกันกลุ่มมิจฉาชีพก็เริ่มหันมาทดลองใช้ AI รูปแบบใหม่ในการโจมตีบ้างแล้ว เราพบว่าการใช้ชุดคำสั่งทดสอบที่ซับซ้อนช่วยดึงศักยภาพของโมเดลที่มีอยู่ออกมาได้สูงขึ้นเรื่อยๆ โดยการเพิ่มทรัพยากรการประมวลผลในช่วงการทดสอบ หมายความว่าเราต้องสร้างระบบความปลอดภัยตั้งแต่วันนี้ โดยไม่จำเป็นต้องรอให้ถึงระดับความเสี่ยงที่คาดการณ์ไว้ในวันข้างหน้า
  
• เราเปิดสิทธิ์การเข้าใช้งานให้กว้างขึ้นตามความเหมาะสมของผู้ใช้และวิธีการที่พวกเขานำระบบไปใช้โดยธรรมชาติแล้วขีดความสามารถทางไซเบอร์เป็นดาบสองคม ความเสี่ยงจึงไม่ได้ขึ้นอยู่กับตัวโมเดลเพียงตัวเดียว ความเสี่ยงยังขึ้นอยู่กับตัวผู้ใช้งาน สัญญาณความไว้วางใจที่ตรวจสอบได้⁠(เปิดในหน้าต่างใหม่) และขอบเขตการเข้าใช้งานที่ผู้ใช้ได้รับ ก็มีส่วนกำหนดความเสี่ยงเช่นกัน
  • การเปิดให้คนส่วนใหญ่เข้าถึงโมเดลทั่วไปที่มีระบบป้องกันได้อย่างกว้างขวาง สามารถดำเนินควบคู่ไปกับการควบคุมที่เข้มงวดขึ้นสำหรับฟังก์ชันที่มีความเสี่ยงสูง โดยอาศัยการยืนยันตัวตนที่รัดกุม การระบุวัตถุประสงค์ที่ชัดเจน และการตรวจสอบการใช้งานที่มีประสิทธิภาพ
  • เพื่อเปิดให้มีการใช้งานอย่างรับผิดชอบในวงกว้าง เราจำเป็นต้องมีระบบที่สามารถตรวจสอบยืนยันผู้ใช้งานและวัตถุประสงค์ที่น่าเชื่อถือได้ด้วยวิธีที่อัตโนมัติและเป็นกลางมากขึ้น แนวทางนี้ช่วยให้เราขยายการเข้าถึงโดยอ้างอิงจากหลักฐานและสัญญาณความน่าเชื่อถือที่แท้จริง แทนที่จะพึ่งพาการตัดสินใจด้วยคนเพียงอย่างเดียว เรามองว่าการผูกขาดการตัดสินใจไว้ที่ส่วนกลางเพื่อกำหนดว่าใครมีสิทธิ์ป้องกันตัวเองบ้างนั้น ไม่ใช่แนวทางที่เหมาะสมหรือทำได้จริงในทางปฏิบัติ เราตั้งเป้าที่จะเสริมพลังให้กลุ่มผู้ดูแลความปลอดภัยที่ถูกต้องตามกฎหมายให้เข้าถึงระบบได้มากที่สุด ผ่านการตรวจสอบข้อมูล สัญญาณความไว้วางใจ และการแสดงความรับผิดชอบที่ชัดเจน
    
• การป้องกันควรได้รับการยกระดับอย่างต่อเนื่องตามขีดความสามารถ เมื่อความสามารถของโมเดลเพิ่มขึ้น การป้องกันก็จำเป็นต้องขยายตามไปพร้อมกัน เราได้เห็นการเขียนโค้ดแบบเอเจนต์พัฒนาขึ้นอย่างต่อเนื่อง ซึ่งส่งผลโดยตรงต่อความปลอดภัยไซเบอร์ และเราได้ปรับแนวทางของเราให้สอดคล้องไปพร้อมกัน
  • ทีมงานเริ่มต้นสร้างทักษะความปลอดภัยไซเบอร์ตั้งแต่รุ่น GPT‑5.2 ก่อนจะยกระดับมาตรการคุ้มครองให้ครอบคลุมยิ่งขึ้นใน GPT‑5.3‑Codex และ GPT‑5.4 ซึ่งในรุ่นนี้เราได้จัดลำดับให้โมเดลมีขีดความสามารถทางไซเบอร์อยู่ในระดับ "สูง" ภายใต้กรอบการเตรียมความพร้อมของเรา เราเดินหน้าสนับสนุนฝั่งนักป้องกันไปพร้อมกัน โดยเริ่มจากโครงการทุนสนับสนุนด้านไซเบอร์ 10 ล้านดอลลาร์⁠ พร้อมทั้งส่ง Codex for Open Source⁠(เปิดในหน้าต่างใหม่) ไปช่วยสแกนช่องโหว่ให้โครงการโอเพนซอร์สกว่า 1,000 แห่งฟรี และยกระดับประสิทธิภาพของ Codex Security ให้ดียิ่งขึ้น
  • Codex Security ซึ่งเราเปิดตัวเปิดให้ทดลองใช้เมื่อ 6 เดือนก่อน และเปิดให้ทดสอบในฐานะงานพรีวิววิจัยเมื่อต้นปีนี้⁠ มีความสามารถในการตรวจสอบฐานรหัส ยืนยันปัญหา และเสนอแนวทางแก้ไขได้โดยอัตโนมัติ ประสิทธิภาพที่เพิ่มขึ้นของโมเดลส่งผลให้ระบบมีความเที่ยงตรงและใช้งานได้ดีกว่าเดิม นับตั้งแต่เปิดตัวเมื่อไม่นานมานี้ Codex Security มีส่วนช่วยแก้ไขช่องโหว่ระดับอันตรายและระดับสูงไปแล้วกว่า 3,000 รานการ รวมถึงช่วยตรวจพบและแก้ไขช่องโหว่ระดับทั่วไปอีกจำนวนมากทั่วทั้งระบบนิเวศน์
  • ตลอดช่วงการเปิดตัวผลิตภัณฑ์แต่ละรุ่น เราได้ปรับปรุงวิธีที่โมเดลตอบสนองต่อคำขอที่ละเอียดอ่อน พร้อมปรับเกณฑ์การปฏิเสธให้เหมาะสมควบคู่ไปกับการขยายสิทธิ์การเข้าถึงที่น่าเชื่อถือผ่านโครงการต่างๆ เช่น TAC
    
• ยกระดับความปลอดภัยให้กระบวนการพัฒนาซอฟต์แวร์มีความรัดกุมยิ่งขึ้นระบบนิเวศที่แข็งแกร่งที่สุดคือระบบที่สามารถตรวจจับ ยืนยัน และแก้ไขปัญหาความปลอดภัยได้อย่างต่อเนื่องในระหว่างการเขียนซอฟต์แวร์ การนำโมเดลการเขียนโค้ดขั้นสูงและระบบตัวแทนเอเจนจ์อัจฉริยะเข้าสู่ขั้นตอนการทำงาน ช่วยให้เหล่านักพัฒนาได้รับคำแนะนำที่นำไปใช้ได้จริงทันทีในระหว่างการสร้างผลงาน ซึ่งเปลี่ยนรูปแบบความปลอดภัยจากการสุ่มตรวจสอบเป็นพักๆ ไปสู่การลดความเสี่ยงที่เห็นผลชัดเจนและต่อเนื่อง
  

เราต้องการเสริมอำนาจให้เหล่านักป้องกันด้วยการเปิดให้เข้าถึงขีดความสามารถที่ล้ำสมัยได้อย่างกว้างขวาง ซึ่งรวมถึงโมเดลที่เราสร้างขึ้นมาเพื่อความปลอดภัยไซเบอร์โดยเฉพาะ ในเดือนกุมภาพันธ์ เราได้เปิดตัว Trusted Access for Cyber⁠ (TAC) ซึ่งมาพร้อมกับการยืนยันตัวตนอัตโนมัติสำหรับบุคคล เพื่อลดอุปสรรคจากมาตรการป้องกันในงานที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ พร้อมทั้งร่วมมือกับองค์กรเฉพาะกลุ่มเพื่อเปิดให้เข้าถึงโมเดลที่ยืดหยุ่นต่อการทำงานไซเบอร์มากขึ้น

วันนี้เรากำลังขยายขอบเขตโครงการด้วยการเพิ่มระดับการเข้าถึงสำหรับผู้ใช้งานที่พร้อมร่วมมือกับ OpenAI ในการยืนยันตัวตนว่าตนเองคือเหล่านักป้องกันภัยไซเบอร์ ลูกค้าในระดับสูงสุดจะได้รับสิทธิ์เข้าใช้งาน GPT‑5.4‑Cyber ซึ่งเป็นโมเดลที่เราตั้งใจปรับแต่งเพื่อเพิ่มขีดความสามารถด้านไซเบอร์และลดข้อจำกัดในการใช้งานลง เราพัฒนา GPT‑5.4 เวอร์ชันนี้ให้ลดเกณฑ์การปฏิเสธงานด้านความมั่นคงปลอดภัยไซเบอร์ที่ชอบด้วยกฎหมาย และเปิดใช้ความสามารถใหม่สำหรับเวิร์กโฟลว์เชิงป้องกันขั้นสูง รวมถึงความสามารถด้านการทำวิศวกรรมย้อนกลับไบนารี ที่ช่วยให้ผู้เชี่ยวชาญสามารถวิเคราะห์ซอฟต์แวร์ที่คอมไพล์แล้วเพื่อหาความเสี่ยงของมัลแวร์ ช่องโหว่ และความแข็งแกร่งของระบบได้โดยไม่ต้องอาศัยซอร์สโค้ด

เนื่องจากโมเดลรุ่นนี้มีข้อจำกัดน้อยลง เราจึงเริ่มต้นเปิดใช้งานในวงจำกัดและค่อยเป็นค่อยไป โดยเน้นกลุ่มผู้ให้บริการด้านความปลอดภัย องค์กร และนักวิจัยที่ผ่านการตรวจสอบสิทธิ์แล้ว การเข้าถึงโมเดลที่มีความยืดหยุ่นและรองรับการใช้งานด้านไซเบอร์อาจมีข้อจำกัด โดยเฉพาะสำหรับการใช้งานที่ไม่มีการเปิดเผยข้อมูล เช่น การไม่เก็บข้อมูล⁠(เปิดในหน้าต่างใหม่) ประเด็นนี้สำคัญอย่างยิ่งสำหรับกลุ่มนักพัฒนาและองค์กรที่เข้าใช้โมเดลของเราผ่านแพลตฟอร์มภายนอก ซึ่ง OpenAI อาจตรวจสอบตัวตนผู้ใช้ สภาพแวดล้อม หรือจุดประสงค์ของคำขอได้ไม่ทั่วถึงนัก 

การขอเข้าใช้งานระบบ TAC นั้นมีขั้นตอนที่ง่ายและไม่ซับซ้อน

• ผู้ใช้ทั่วไปสามารถยืนยันตัวตนได้ที่ chatgpt.com/cyber⁠(เปิดในหน้าต่างใหม่). 
• องค์กรสามารถ ขอสิทธิ์การเข้าถึงที่เชื่อถือได้⁠ สำหรับทีมของตนผ่านตัวแทน OpenAI ของตน 

ลูกค้าทุกคนที่ผ่านการอนุมัติจะได้รับสิทธิ์เข้าใช้งานโมเดลรุ่นพิเศษลดข้อจำกัดจากกลไกความปลอดภัยที่อาจถูกกระตุ้นโดยกิจกรรมไซเบอร์แบบใช้ได้สองทาง ทำให้สามารถสนับสนุนการศึกษาด้านความปลอดภัย การเขียนโปรแกรมเชิงป้องกัน และการวิจัยช่องโหว่อย่างมีความรับผิดชอบได้อย่างต่อเนื่อง ลูกค้าที่อยู่ใน TAC อยู่แล้วและยินดีที่จะยืนยันตัวตนเพิ่มเติมว่าเป็นผู้ป้องกันภัยไซเบอร์ที่ถูกต้องตามกฎหมาย สามารถแสดงความสนใจ⁠(เปิดในหน้าต่างใหม่) ในระดับการเข้าถึงเพิ่มเติม รวมถึงการขอสิทธิ์เข้าถึง GPT‑5.4‑Cyber

ระบบป้องกันด้านความมั่นคงปลอดภัยทางไซเบอร์เชิงรับของเราเป็นผลลัพธ์จากการปรับปรุงอย่างต่อเนื่องเป็นเวลาหลายเดือน เราเชื่อว่ามาตรการป้องกันที่ใช้อยู่ในปัจจุบันชุดนี้สามารถลดความเสี่ยงด้านไซเบอร์ได้เพียงพอที่จะรองรับการนำโมเดลปัจจุบันไปใช้งานอย่างกว้างขวาง เราคาดว่ามาตรการป้องกันในลักษณะนี้จะเพียงพอสำหรับโมเดลรุ่นใหม่ที่จะเก่งขึ้นเรื่อยๆ ในขณะที่โมเดลที่เราเทรนและปรับให้ยืดหยุ่นเพื่องานไซเบอร์โดยเฉพาะนั้น จำเป็นต้องมีการใช้งานที่รัดกุมและมีมาตรการควบคุมที่เหมาะสม

ราคาดการณ์ว่าในอนาคตต้องใช้ระบบป้องกันที่รัดกุมและครอบคลุมมากกว่าเดิม เพื่อให้ทันกับโมเดลรุ่นใหม่ ๆ ที่จะมีศักยภาพสูงขึ้นอย่างรวดเร็วจนแซงหน้าโมเดลเฉพาะทางที่ดีที่สุดในปัจจุบัน ทั้งนี้ก็เพื่อให้ระบบความปลอดภัยของ AI ทำงานได้อย่างยั่งยืนในระยะยาว