Siber Ortam için Güvenilir Erişim (TAC) programımızı, kritik önem taşıyan yazılımları korumaktan sorumlu binlerce doğrulanmış bireysel savunmacıyı ve yüzlerce ekibi kapsayacak şekilde genişletiyoruz. Siber savunma programımızı yıllardır erişimin yaygınlaştırılması, kademeli devreye alım ve ekosistem dayanıklılığı ilkeleri üzerine inşa ediyoruz. Önümüzdeki aylarda OpenAI'ın sunacağı daha gelişmiş modellere hazırlık kapsamında, modellerimizi savunma odaklı siber güvenlik kullanım durumlarını destekleyecek şekilde özel olarak uyarlıyoruz. Bu kapsamda bugün, siber güvenlik açısından daha esnek olacak şekilde eğitilmiş GPT‑5.4 varyantını, GPT‑5.4‑Cyber'ı sunuyoruz. Bu yazıda, model yetenekleri arttıkça siber savunmayı paralel şekilde ölçeklendirme yaklaşımımızın, gelecekteki sürümlerin test ve devreye alım süreçlerine nasıl yön vereceğini paylaşıyoruz.
Yapay zekanın giderek artan kullanımı, sistemleri, verileri ve kullanıcıları korumakla görevli savunmacıların daha hızlı hareket etmesini sağlıyor; herkesin faydalandığı dijital altyapılardaki sorunları daha hızlı tespit edip çözmelerine yardımcı oluyor. Aynı şekilde, zarar verme odaklı saldırganlar da yapay zekayı kullanıyor. Biz buna hazırlıklıyız. 2023'ten bu yana, Siber Güvenlik Hibe Programımız aracılığıyla savunmacıları destekliyor ve Risklere Hazırlık Çerçevemiz ile güvenlik önlemlerimizi güçlendiriyoruz. Aynı yıl, modellerimizin siber yeteneklerini değerlendirmeye başladık; 2025 itibarıyla ise model devreye alımlarımıza(yeni bir pencerede açılır) siber güvenliğe özel koruma mekanizmaları ekledik. Bu yılın başlarında ise Codex Security'yi devreye alarak savunmacılara desteğimizi bir adım daha ileri taşıdık; güvenlik açıklarını ölçekli şekilde tespit etmeyi ve gidermeyi mümkün kıldık. Bu yeteneklerin sürekli gelişimine yaklaşımımız üç temel ilke ile şekilleniyor:
- Erişimi genişletmek: Amacımız, kötüye kullanımı önlerken bu araçları mümkün olduğunca geniş bir kesimin erişimine açmak. Meşru kullanım için kimin erişim elde edip edemeyeceğine keyfi şekilde karar vermekten kaçınıyoruz. Bunun yerine, gelişmiş yeteneklere erişimi belirlemek için güçlü KYC (müşteri tanıma) ve kimlik doğrulama gibi net ve objektif kriterler kullanıyor, bu süreçleri zamanla otomatikleştiriyoruz. Nihai hedefimiz; kritik altyapıları, kamu hizmetlerini ve insanların her gün faydalandığı dijital sistemleri koruyanlar da dahil olmak üzere her ölçekteki meşru kullanıcıya gelişmiş savunma yeteneklerini sunmak.
- Kademeli devreye alım: Bu sistemleri dikkatli bir şekilde gerçek dünyaya sunup zaman içinde geliştirerek en etkili sonuçları elde ediyoruz. Yeteneklerini ve risklerini daha iyi anladıkça, modellerimizi ve güvenlik sistemlerimizi buna göre güncelliyoruz. Bu kapsamda; farklı modellerin sunduğu fayda ve riskleri değerlendirmek, jailbreak ve diğer düşmanca saldırılara karşı dayanıklılığı artırmak ve zararı en aza indirirken savunma yeteneklerini geliştirmek yer alıyor.
- Ekosistem dayanıklılığına yatırım: Güvenilir erişim mekanizmaları, hedefli hibeler, açık kaynak güvenlik girişimlerine(yeni bir pencerede açılır) katkılar ve ve savunmacıların güvenlik açıklarını daha hızlı tespit edip gidermesini sağlayan Codex Security gibi teknolojilerle savunma topluluğunu destekliyor ve güçlendiriyoruz.
Siber dayanıklılık ve savunmayı güçlendirme stratejimiz
Siber güvenlik stratejimizi yıllardır araştırmaya yatırım yapmak, kötüye kullanımı önlemek ve savunmacıları güçlendirmek üzerine kuruyoruz. Model yetenekleri geliştikçe, bu hedefler doğrultusunda programlarımızı genişlettik. Bu yaklaşım, şu ana fikirlere dayanıyor:
- Siber risk zaten mevcut ve giderek artıyor, ancak harekete geçmek mümkün. Dijital altyapılar, gelişmiş yapay zeka ortaya çıkmadan önce de yıllardır çeşitli güvenlik açıkları barındırıyordu(yeni bir pencerede açılır). Günümüzde mevcut modeller; güvenlik açıklarını tespit edebiliyor, kod tabanları üzerinde akıl yürütebiliyor ve siber iş akışlarının önemli bölümlerini destekleyebiliyor. Aynı zamanda kötü niyetli kişiler de yapay zeka destekli yeni yöntemleri deniyor. Mevcut modellerle, test aşamasında daha fazla işlem gücü kullanılarak yeteneklerin giderek daha ileri taşındığını gözlemledik. Bu da güvenlik önlemlerinin, gelecekteki tek bir kritik eşiği beklemek yerine sürekli devrede olması gerektiğini gösteriyor.
- Erişim, bu sistemleri kimin nasıl kullandığına göre genişletiliyor. Siber yetenekler doğası gereği çift kullanımlıdır; bu nedenle risk yalnızca modelle tanımlanamaz. Risk aynı zamanda kullanıcıya, kullanıcıya dair güven sinyallerine(yeni bir pencerede açılır) ve kullanıcının sahip olduğu erişim düzeyine bağlıdır.
- Genel modellere yönelik geniş erişim, güvenlik önlemleriyle birlikte sunulabilirken daha yüksek riskli yetenekler için daha güçlü doğrulama, daha net kullanım niyeti sinyalleri ve daha iyi görünürlükle desteklenen daha ayrıntılı kontroller uygulanabilir.
- Ölçekli ve sorumlu kullanım için, güvenilir kullanıcıları ve kullanım senaryolarını daha otomatik ve objektif yöntemlerle doğrulayabilen sistemlere ihtiyacımız var. Bu sayede erişimi, manuel kararlara değil; kanıta ve gerçek güven sinyallerine dayanarak genişletebiliriz. Kimin kendini savunabileceğine merkezi olarak karar vermenin ne pratik ne de doğru olduğunu düşünüyoruz. Bunun yerine, doğrulama, güven sinyalleri ve hesap verebilirlik temeline dayanan erişimle mümkün olduğunca çok sayıda meşru savunmacıyı desteklemeyi hedefliyoruz.
- Yetenek arttıkça savunma da artmalı. Model yetenekleri geliştikçe, savunma mekanizmalarının da aynı hızda ölçeklenmesi gerekiyor. Ajan tabanlı kodlama alanında istikrarlı ilerlemeler görüyoruz; bunun siber güvenlik açısından doğrudan etkileri var ve biz de yaklaşımımızı buna paralel olarak güncelliyoruz
- GPT‑5.2 ile siber güvenliğe özel eğitimi başlattık ve ardından bunu GPT‑5.3‑Codex ile GPT‑5.4 aracılığıyla ek güvenlik önlemleriyle genişlettik. Burada modeli, Risklere Hazırlık Çerçevemiz kapsamında "yüksek" siber yetenek düzeyinde sınıflandırdık. Buna paralel olarak, savunma ekiplerine desteğimizi artırdık: 10 milyon USD tutarında bir Siber Güvenlik Hibe Programı başlattık, ücretsiz güvenlik taraması sunan Codex for Open Source(yeni bir pencerede açılır) ile 1.000'den fazla açık kaynak projeye ulaştık ve Codex Security'yi geliştirmeye devam ettik.
- Altı ay önce özel beta olarak, bu yılın başında ise araştırma önizlemesi olarak sunulan Codex Security; kod tabanlarını otomatik olarak izler, sorunları doğrular ve çözüm önerileri sunar. Modeller geliştikçe, sistemin doğruluğu ve sağladığı değer de arttı. Son lansmandan bu yana Codex Security, 3.000'den fazla kritik ve yüksek öncelikli güvenlik açığının giderilmesine katkı sağladı; ayrıca ekosistem genelinde daha düşük öncelikli pek çok bulgunun çözülmesine destek oldu.
- Bu sürümler boyunca, modellerin hassas talepleri ele alma biçimini de geliştirdik; reddetme sınırlarını daha dengeli hale getirirken, TAC gibi programlarla güvenilir erişimi genişlettik.
- Yazılım geliştirme süreçlerinin de daha güvenli hale gelmesi gerekiyor. En güçlü ekosistem, yazılım geliştirilirken güvenlik açıklarını sürekli olarak tespit eden, doğrulayan ve gideren ekosistemdir. Gelişmiş kodlama modellerini ve otonom yetenekleri geliştirici iş akışlarına entegre ederek geliştiricilere anında ve uygulanabilir geri bildirimler sunabiliriz. Böylece güvenliği, dönemsel denetimler ve sabit hata listeleriyle sınırlı bir yaklaşım olmaktan çıkarıp, sürekli işleyen ve riski gerçek anlamda azaltan bir sürece dönüştürebiliriz.
Savunmacıları güçlendirmek için siber güvenliğe özel olarak uyarlanmış modeller de dahil olmak üzere en gelişmiş yeteneklere geniş erişim sunmayı hedefliyoruz. Şubat ayında Siber Ortam için Güvenilir Erişim (TAC) programını tanıttık. Bu kapsamda, siber güvenlikle ilgili görevlerde güvenlik önlemlerinin zorlayıcı etkilerini azaltmak amacıyla bireyler için otomatik kimlik doğrulamayı kullanıma sunduk ve daha esnek siber yeteneklere sahip modeller için sınırlı sayıda kuruluşla iş birliği yaptık.
Bugün ise, OpenAI ile birlikte kimliklerini siber güvenlik uzmanı olarak doğrulamaya istekli kullanıcılara ek erişim katmanları sunarak bu programı genişletiyoruz. En üst erişim seviyesindeki kullanıcılar, siber güvenlik yetenekleri artırılmış ve daha az kısıtlama içerecek şekilde özel olarak uyarlanmış GPT‑5.4‑Cyber modeline erişim elde edecek. GPT‑5.4‑Cyber, meşru siber güvenlik çalışmaları için uygulanan ret sınırlarını daha esnek hale getirirken, gelişmiş savunma iş akışlarını destekleyen yeni yetenekler sunar. Buna, güvenlik uzmanlarının kaynak koda ihtiyaç duymadan derlenmiş yazılımları zararlı yazılım riski, güvenlik açıkları ve sistem dayanıklılığı açısından analiz edebilmesini sağlayan tersine mühendislik yetenekleri de dahildir.
Bu model daha esnek olduğu için, ilk aşamada doğrulanmış güvenlik sağlayıcıları, kuruluşlar ve araştırmacılarla sınırlı olarak kademeli bir şekilde sunuluyor. Daha esnek ve siber güvenlik odaklı modellere erişim, özellikle Sıfır Veri Saklama(yeni bir pencerede açılır) (ZDR) gibi görünürlüğün sınırlı olduğu kullanım senaryolarında bazı kısıtlamalar içerebilir. Bu durum, özellikle OpenAI'ın kullanıcıyı, kullanılan ortamı veya talebin amacını daha sınırlı ölçüde görebildiği üçüncü taraf platformları kullanarak modellerimize erişen geliştiriciler ve kuruluşlar için geçerlidir.
TAC'ye erişim süreci oldukça basittir:
- Bireysel kullanıcılar kimliklerini chatgpt.com/cyber(yeni bir pencerede açılır) üzerinden doğrulayabilir.
- Kuruluşlar ise ekipleri için güvenilir erişim talebini OpenAI temsilcileri aracılığıyla iletebilir.
Bu süreçte onaylanan tüm kullanıcılar, çift kullanımlı siber faaliyetlerde devreye girebilen güvenlik önlemlerinin zorlayıcı etkilerinin daha az olduğu mevcut model sürümlerine erişim kazanır. Böylece güvenlik eğitimi, savunma amaçlı programlama ve sorumlu güvenlik açığı araştırmalarını kesintisiz sürdürebilirler. TAC kapsamında yer alan ve kendilerini siber savunucular olarak daha ileri düzeyde doğrulamak isteyen kullanıcılar, GPT‑5.4‑Cyber dahil olmak üzere üst erişim seviyeleri için başvuruda bulunabilir(yeni bir pencerede açılır).
Siber güvenlik önlemlerimiz, aylar süren kademeli iyileştirmelerin sonucudur. Bugün kullanılan güvenlik yaklaşımının, mevcut modellerin geniş ölçekte kullanımı için siber riski yeterli düzeyde azalttığına inanıyoruz. Aynı yaklaşımın, yakında gelecek daha güçlü modeller için de yeterli olacağını öngörüyoruz. Ancak siber güvenlik çalışmaları için özel olarak eğitilmiş ve daha esnek hale getirilmiş modellerin, daha sıkı devreye alma süreçleri ve uygun kontrol mekanizmalarıyla sunulması gerekir.
Uzun vadede, siber güvenlikte yapay zeka güvenliğinin yeterli kalmasını sağlamak için, bugünün en gelişmiş özel amaçlı modellerini bile hızla geride bırakacak gelecekteki modeller karşısında daha kapsamlı savunmalara ihtiyaç duyulacağını öngörüyoruz.
