การเสริมสร้างความยืดหยุ่นทางไซเบอร์ควบคู่ไปกับการพัฒนาขีดความสามารถของ AI
ในขณะที่โมเดลของเรามีความสามารถด้านความมั่นคงปลอดภัยไซเบอร์สูงขึ้น เราจึงลงทุนเสริมสร้างความแข็งแกร่งให้ระบบ เพิ่มมาตรการป้องกันเป็นชั้นๆ และร่วมเป็นพันธมิตรกับผู้เชี่ยวชาญด้านความปลอดภัยระดับโลก
ศักยภาพด้านไซเบอร์ของโมเดล AI ที่รุดหน้าไปอย่างรวดเร็ว ส่งผลดีต่อการวางระบบป้องกันภัยไซเบอร์ แต่ก็แฝงไปด้วยความเสี่ยงใหม่จากการนำไปใช้ในทางที่ผิด ซึ่งเราจำเป็นต้องกำกับดูแลอย่างใกล้ชิด ตัวอย่างเช่น ขีดความสามารถจากการทดสอบด้วยโจทย์ CTF เพิ่มสูงขึ้นอย่างเห็นได้ชัด โดยขยับจาก 27% ใน GPT‑5(เปิดในหน้าต่างใหม่) (สิงหาคม พ.ศ. 2568) ขึ้นมาอยู่ที่ 76% ใน GPT‑5.1‑Codex‑Max(เปิดในหน้าต่างใหม่) (พฤศจิกายน พศ 2568)
ราคาดการณ์ว่าโมเดล AI ในอนาคตจะยังคงพัฒนาไปตามแนวทางนี้ ดังนั้นเราจึงเตรียมความพร้อมโดยวางแผนและประเมินผลเสมือนว่าโมเดลใหม่แต่ละรุ่นอาจมีขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ในระดับ ‘สูง’ ตามเกณฑ์วัดของกรอบการเตรียมความพร้อม(เปิดในหน้าต่างใหม่)ของเรา ขีดความสามารถระดับนี้หมายถึงโมเดลที่สามารถพัฒนาชุดคำสั่งโจมตีช่องโหว่ Zero-day ระยะไกลกับระบบที่มีการป้องกันอย่างแน่นหนา หรือสามารถช่วยสนับสนุนปฏิบัติการเจาะระบบระดับองค์กรและอุตสาหกรรมที่ซับซ้อนและแนบเนียนเพื่อหวังผลกระทบในโลกจริงได้อย่างมีนัยสำคัญ บทความนี้อธิบายวิธีที่เราพิจารณามาตรการป้องกันสำหรับโมเดลที่มีขีดความสามารถระดับดังกล่าว พร้อมทั้งสร้างความมั่นใจว่าโมเดลเหล่านี้จะช่วยสนับสนุนฝ่ายป้องกันได้อย่างแท้จริง ในขณะที่ยังจำกัดการนำไปใช้งานที่ผิดวัตถุประสงค์ด้วย
เมื่อขีดความสามารถเหล่านี้ก้าวหน้าขึ้น OpenAI กำลังลงทุนเพื่อเสริมความแข็งแกร่งให้โมเดลของเราสำหรับงานด้านความมั่นคงปลอดภัยทางไซเบอร์เชิงรับ และสร้างเครื่องมือที่ช่วยให้ผู้ป้องกันสามารถดำเนินเวิร์กโฟลว์ต่างๆ เช่น การตรวจสอบโค้ดและการแก้ไขช่องโหว่ได้ง่ายยิ่งขึ้น จุดประสงค์ของเราคือการส่งมอบเครื่องมือและโมเดลที่ช่วยให้ฝ่ายป้องกันทำงานได้เหนือกว่าเดิม โดยเฉพาะในกลุ่มที่เผชิญปัญหาเรื่องข้อจำกัดด้านบุคลากรและทรัพยากรสนับสนุน
กระบวนการทำงานด้านไซเบอร์ทั้งเชิงรับและเชิงรุกมักใช้ความรู้และเทคนิคพื้นฐานอย่างเดียวกัน เช่นเดียวกับเทคโนโลยีประเภทดาบสองคมในด้านอื่นๆ เรากำลังลงทุนในมาตรการป้องกันเพื่อสร้างความมั่นใจว่าขีดความสามารถอันทรงพลังเหล่านี้จะสร้างประโยชน์ต่อการใช้งานเชิงรับเป็นหลัก และจำกัดการนำไปใช้เพื่อวัตถุประสงค์ที่ประสงค์ร้าย ความมั่นคงปลอดภัยไซเบอร์เกี่ยวข้องกับเกือบทุกสาขาอาชีพ ซึ่งหมายความว่าเราไม่อาจพึ่งพามาตรการป้องกันเพียงรูปแบบเดียว เช่น การจำกัดความรู้หรือการใช้ระบบคัดกรองผู้เข้าถึงเท่านั้น แต่เราจำเป็นต้องใช้แนวทางการป้องกันเชิงลึกที่สร้างสมดุลระหว่างความเสี่ยงและการเพิ่มขีดความสามารถให้แก่ผู้ใช้งาน ในทางปฏิบัติ สิ่งนี้หมายถึงการกำหนดรูปแบบการเข้าถึง การชี้แนะ และการประยุกต์ใช้ขีดความสามารถต่างๆ เพื่อให้โมเดลล้ำสมัยช่วยเสริมสร้างความปลอดภัย แทนที่จะเป็นการลดอุปสรรคในการนำไปใช้ในทางที่ผิด
เราไม่ได้มองว่าการดำเนินงานนี้เป็นเพียงความพยายามชั่วคราว แต่เป็นการลงทุนระยะยาวที่ต่อเนื่องเพื่อสร้างข้อได้เปรียบให้แก่ฝ่ายป้องกัน และเสริมสร้างความมั่นคงปลอดภัยของโครงสร้างพื้นฐานสำคัญในระบบนิเวศโดยรวมให้แข็งแกร่งขึ้นอย่างสม่ำเสมอ
เราออกแบบและเทรนโมเดลของเราให้ทำงานได้อย่างปลอดภัย โดยมีระบบเชิงรุกที่คอยตรวจจับและตอบโต้การใช้งานในทางที่ผิดด้านไซเบอร์คอยสนับสนุนอยู่ เราปรับปรุงมาตรการป้องกันเหล่านี้ให้ดียิ่งขึ้นอย่างต่อเนื่อง ตามขีดความสามารถที่เพิ่มขึ้นและสภาพการณ์ของภัยคุกคามที่เปลี่ยนแปลงไป แม้จะไม่มีระบบใดที่รับประกันการป้องกันการใช้งานผิดประเภทในด้านไซเบอร์ได้อย่างสมบูรณ์โดยไม่กระทบต่อการใช้งานเชิงรับอย่างรุนแรง แต่กลยุทธ์ของเราคือการลดความเสี่ยงผ่านระบบความปลอดภัยที่วางไว้เป็นชั้นๆ
รากฐานของแนวทางนี้คือการใช้แนวทางการป้องกันเชิงลึก โดยอาศัยการผสมผสานระหว่างการควบคุมการเข้าถึง การเสริมความมั่นคงของโครงสร้างพื้นฐาน การควบคุมการรับส่งข้อมูลขาออก และการเฝ้าระวัง เราเสริมมาตรการเหล่านี้ด้วยระบบตรวจจับและตอบสนอง รวมถึงโปรแกรมข่าวกรองภัยคุกคามและความเสี่ยงจากบุคคลภายในโดยเฉพาะ ซึ่งช่วยให้สามารถระบุและสกัดกั้นภัยคุกคามที่เกิดขึ้นใหม่ได้อย่างรวดเร็ว มาตรการป้องกันเหล่านี้ได้รับการออกแบบให้พัฒนาไปตามลักษณะของภัยคุกคาม เราเตรียมรับมือกับความเปลี่ยนแปลง และออกแบบระบบให้พร้อมปรับเปลี่ยนตามสถานการณ์ได้อย่างว่องไวและตรงจุด
จากพื้นฐานดังกล่าวเราดำเนินการต่อยอดดังนี้
- การเทรนโมเดลให้ปฏิเสธหรือให้คำตอบอย่างปลอดภัยต่อคำขอที่เป็นอันตราย แต่ยังคงให้ข้อมูลที่เป็นประโยชน์แก่ผู้ใช้งานที่ต้องการศึกษาหรือป้องกันภัยทางไซเบอร์: เรากำลังเทรนโมเดลระดับแนวหน้าของเราให้ปฏิเสธหรือตอบสนองอย่างปลอดภัยต่อคำขอที่เอื้อให้เกิดการโจมตีทางไซเบอร์อย่างชัดเจน ในขณะที่ยังคงให้ความช่วยเหลืออย่างเต็มที่สำหรับกรณีการใช้งานด้านการป้องกันและการศึกษาที่ถูกต้องตามกฎหมาย
- ระบบตรวจจับ: เราปรับปรุงและดูแลระบบเฝ้าระวังให้มีประสิทธิภาพครอบคลุมทุกผลิตภัณฑ์ที่รันบนโมเดลระดับสูง เพื่อให้ตรวจพบความเคลื่อนไหวที่ไม่ประสงค์ดีในระบบไซเบอร์ได้ทันท่วงที หากเราตรวจพบกิจกรรมที่ดูไม่ปลอดภัย เราอาจระงับการแสดงผล สลับไปใช้โมเดลที่มีความปลอดภัยสูงกว่า หรือดำเนินการขั้นเด็ดขาดตามนโยบายของเรา มาตรการบังคับใช้ของเราใช้การทำงานร่วมกันระหว่างระบบอัตโนมัติและการตรวจสอบโดยมนุษย์ โดยพิจารณาจากปัจจัยต่างๆ เช่น ข้อกำหนดทางกฎหมาย ความรุนแรงของพฤติกรรม และการกระทำผิดซ้ำ เรายังทำงานอย่างใกล้ชิดกับเหล่านักพัฒนาและลูกค้าองค์กรเพื่อปรับเกณฑ์ด้านความปลอดภัยให้สอดคล้องกัน และส่งเสริมการใช้งานอย่างมีความรับผิดชอบพร้อมกำหนดขั้นตอนการรายงานปัญหาที่ชัดเจน
- การประเมิน Red Teaming แบบครบวงจร: เรากำลังทำงานร่วมกับองค์กรที่เชี่ยวชาญด้าน Red Teaming เพื่อประเมินและปรับปรุงมาตรการลดความเสี่ยงด้านความปลอดภัยของเรา หน้าที่ของพวกเขาคือการพยายามเจาะระบบป้องกันทั้งหมดของเราด้วยกระบวนการทำงานแบบครบวงจร เพื่อจำลองสถานการณ์โจมตีโดยกลุ่มผู้ไม่หวังดีที่มีทั้งความพยายามและงบประมาณมหาศาล สิ่งนี้ช่วยให้เราระบุช่องว่างได้ตั้งแต่เนิ่นๆ และเสริมความแข็งแกร่งให้กับระบบโดยรวม
OpenAI ได้ลงทุนตั้งแต่ระยะแรกในการประยุกต์ใช้ AI เพื่อช่วยงานด้านความมั่นคงปลอดภัยไซเบอร์เชิงป้องกัน และทีมงานของเราประสานงานอย่างใกล้ชิดกับผู้เชี่ยวชาญระดับโลกเพื่อพัฒนาทั้งโมเดลและการใช้งานให้มีความสมบูรณ์ยิ่งขึ้น เราให้ความสำคัญกับกลุ่มผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยทางไซเบอร์ทั่วโลกที่ทุ่มเททำงานอย่างหนักเพื่อทำให้โลกดิจิทัลปลอดภัยยิ่งขึ้น และเรามุ่งมั่นที่จะส่งมอบเครื่องมืออันทรงพลังเพื่อสนับสนุนงานด้านความปลอดภัยเชิงรับ ขณะที่เราทยอยนำมาตรการป้องกันใหม่มาใช้ เราจะยังคงทำงานร่วมกับชุมชนผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ต่อไป เพื่อทำความเข้าใจว่า AI สามารถเสริมสร้างความยืดหยุ่นได้อย่างมีความหมายในด้านใด และมาตรการป้องกันที่รอบคอบมีความสำคัญมากที่สุดในด้านใด
นอกเหนือจากความร่วมมือเหล่านี้ เรากำลังจัดทำชุดมาตรการที่ออกแบบมาเพื่อช่วยให้ฝ่ายป้องกันทำงานได้รวดเร็วยิ่งขึ้น โดยวางรากฐานระบบป้องกันบนความต้องการใช้งานจริง และเร่งกระบวนการแก้ไขปัญหาอย่างมีความรับผิดชอบในวงกว้าง
เราเตรียมเปิดตัวโครงการการเข้าถึงที่เชื่อถือได้ในเร็วๆ นี้ เพื่อพิจารณามอบสิทธิ์การใช้งานขีดความสามารถขั้นสูงในโมเดลล่าสุดของเราเป็นลำดับชั้น แก่ผู้ใช้งานและลูกค้าที่ผ่านเกณฑ์ซึ่งทำงานด้านการป้องกันทางไซเบอร์โดยเฉพาะ เรายังคงอยู่ระหว่างการพิจารณาขอบเขตที่เหมาะสมว่าขีดความสามารถใดที่ควรเปิดให้เข้าถึงได้ทั่วไป และส่วนใดที่ต้องจำกัดสิทธิ์การใช้งานเป็นลำดับชั้น ซึ่งผลสรุปในส่วนนี้อาจส่งผลต่อรูปแบบของโครงการในอนาคต เราตั้งเป้าให้โครงการการเข้าถึงที่เชื่อถือได้นี้เป็นรากฐานสำคัญในการสร้างระบบนิเวศที่มีความยืดหยุ่นและพร้อมรับมือกับทุกสภาวะ
Aardvark เครื่องมือวิจัยด้านความปลอดภัยเชิงเอเจนต์ของเรา ที่ช่วยให้นักพัฒนาและทีมความปลอดภัยค้นหาและแก้ไขช่องโหว่ได้ในวงกว้าง พร้อมใช้งานแล้วในรุ่นเบตาแบบส่วนตัวแล้ว ระบบจะสแกนชุดรหัสต้นฉบับเพื่อค้นหาช่องโหว่และนำเสนอแนวทางการแก้ไข เพื่อให้ผู้ดูแลระบบสามารถนำไปปรับใช้ได้อย่างรวดเร็ว ระบบนี้ตรวจพบช่องโหว่ใหม่ๆ ในซอฟต์แวร์โอเพนซอร์สได้แล้วหลายรายการ ผ่านกระบวนการคิดวิเคราะห์ชุดรหัสต้นฉบับทั้งหมดอย่างละเอียด เรามีแผนมอบการดูแลความปลอดภัยโดยไม่คิดค่าใช้จ่ายให้แก่คลังซอฟต์แวร์โอเพนซอร์สเชิงพาณิชย์ที่ได้รับคัดเลือก เพื่อร่วมสร้างความมั่นใจในระบบนิเวศและห่วงโซ่อุปทานของซอฟต์แวร์โอเพนซอร์ส สมัครเข้าร่วมได้ที่นี่
เราเตรียมจัดตั้งสภาความเสี่ยงจากโมเดลแนวหน้า ซึ่งเป็นกลุ่มที่ปรึกษาที่จะดึงเหล่านักป้องกันไซเบอร์และผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์มาร่วมทำงานอย่างใกล้ชิดกับทีมงานของเรา สภานี้จะเริ่มดำเนินงานโดยมุ่งเน้นด้านความมั่นคงปลอดภัยทางไซเบอร์เป็นอันดับแรก และจะขยายขอบเขตไปยังโดเมนขีดความสามารถระดับแนวหน้าอื่นๆ ในอนาคต สมาชิกจะให้คำแนะนำเกี่ยวกับขอบเขตระหว่างความสามารถที่มีประโยชน์และมีความรับผิดชอบ กับการใช้งานที่อาจไม่เหมาะสม และสิ่งที่ได้เรียนรู้เหล่านี้จะถูกนำไปใช้โดยตรงในการประเมินและมาตรการป้องกันของเรา เราจะให้ข้อมูลเพิ่มเติมเกี่ยวกับสภาในเร็วๆ นี้
ท้ายที่สุดเราคาดการณ์ว่าการนำโมเดลระดับแนวหน้าทุกรุ่นในอุตสาหกรรมไปใช้ในทางที่ผิดทางไซเบอร์อาจมีความเป็นไปได้ เพื่อจัดการปัญหานี้ เราจึงทำงานร่วมกับห้องแล็บระดับแนวหน้าอื่นๆ ผ่านฟอรัมโมเดลระดับแนวหน้า (Frontier Model Forum) ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรที่ได้รับการสนับสนุนจากห้องปฏิบัติการ AI ชั้นนำและพันธมิตรในอุตสาหกรรม เพื่อสร้างความเข้าใจร่วมกันเกี่ยวกับแบบจำลองภัยคุกคามและแนวปฏิบัติที่ดีที่สุด ในบริบทนี้การสร้างแบบจำลองภัยคุกคามช่วยลดความเสี่ยงด้วยการระบุว่าผู้ไม่หวังดีอาจนำขีดความสามารถของ AI ไปใช้เป็นอาวุธได้อย่างไร อะไรคืออุปสรรคสำคัญของตัวแสดงภัยคุกคามแต่ละกลุ่ม และโมเดลระดับแนวหน้าจะช่วยเพิ่มขีดความสามารถในการโจมตีได้อย่างมีนัยสำคัญในจุดไหนบ้าง ความร่วมมือนี้มีเป้าหมายเพื่อสร้างความเข้าใจที่สอดคล้องกันทั่วทั้งระบบนิเวศเกี่ยวกับผู้ไม่หวังดีและช่องทางการโจมตี ซึ่งจะช่วยให้แล็บ ผู้ดูแลรักษาระบบ และผู้ป้องกันสามารถปรับปรุงมาตรการบรรเทาความเสี่ยงของตนได้ดียิ่งขึ้น และทำให้ข้อมูลเชิงลึกด้านความปลอดภัยที่สำคัญถูกเผยแพร่ไปทั่วทั้งระบบนิเวศได้อย่างรวดเร็ว เรายังทำงานร่วมกับทีมภายนอกเพื่อพัฒนาการประเมินด้านความมั่นคงปลอดภัยทางไซเบอร์(เปิดในหน้าต่างใหม่) เราคาดหวังว่าระบบนิเวศที่ใช้หน่วยงานอิสระช่วยประเมินผลจะกลายเป็นรากฐานสำคัญที่ช่วยให้ทุกคนเข้าใจศักยภาพที่แท้จริงของโมเดลไปในทิศทางเดียวกัน
ความพยายามเหล่านี้สะท้อนถึงความมุ่งมั่นระยะยาวของเราในการเสริมสร้างความแข็งแกร่งให้กับด้านการป้องกันของระบบนิเวศ เมื่อโมเดลมีความสามารถมากขึ้น เป้าหมายของเราคือการช่วยให้มั่นใจว่าความสามารถเหล่านั้นจะกลายเป็นพลังสนับสนุนที่แท้จริงสำหรับผู้ป้องกัน โดยตั้งอยู่บนความต้องการในโลกแห่งความเป็นจริง ได้รับการหล่อหลอมจากข้อมูลจากผู้เชี่ยวชาญ และนำไปใช้อย่างรอบคอบ นอกเหนือจากงานนี้ เราวางแผนที่จะสำรวจโครงการริเริ่มอื่นๆ และทุนสนับสนุนด้านความปลอดภัยทางไซเบอร์ เพื่อช่วยผลักดันแนวคิดที่แปลกใหม่ซึ่งอาจไม่เกิดขึ้นจากช่องทางเดิมๆ และเพื่อระดมไอเดียการป้องกันที่สร้างสรรค์จากทั้งแวดวงวิชาการ อุตสาหกรรม และชุมชนโอเพนซอร์ส โดยรวมแล้วสิ่งเหล่านี้คือภารกิจที่กำลังดำเนินอยู่ และเรามุ่งหวังที่จะพัฒนาโครงการเหล่านี้อย่างต่อเนื่องเมื่อเราได้เรียนรู้ว่าสิ่งใดที่ช่วยยกระดับความปลอดภัยในโลกแห่งความเป็นจริงได้อย่างมีประสิทธิภาพสูงสุด
