Ми розширюємо нашу програму Trusted Access for Cyber (TAC) для тисяч перевірених індивідуальних захисників і сотень команд, відповідальних за захист критично важливого програмного забезпечення. Протягом багатьох років ми розбудовуємо програму кіберзахисту на принципах демократизованого доступу, поетапного розгортання та стійкості екосистеми. Готуючись до появи протягом наступних кількох місяців дедалі потужніших моделей OpenAI, ми доопрацьовуємо наші моделі спеціально для підтримки оборонних сценаріїв використання в кібербезпеці, починаючи вже сьогодні з варіанта GPT‑5.4, навченого бути більш відкритим до завдань у сфері кібербезпеки: GPT‑5.4‑Cyber. У цій публікації ми розповідаємо, як, на нашу думку, наш підхід до масштабування кіберзахисту синхронно зі зростанням можливостей моделей визначатиме підхід до тестування та розгортання майбутніх релізів.
Поступове використання ШІ прискорює роботу захисників — тих, хто відповідає за безпеку систем, даних і користувачів, — даючи їм змогу швидше виявляти й усувати проблеми в цифровій інфраструктурі, на яку покладаються всі. Так само ШІ використовується зловмисниками, які прагнуть завдати шкоди. Ми до цього готувалися. З 2023 року ми підтримували захисників через нашу Програму грантів із кібербезпеки та посилили заходи безпеки через нашу рамкову систему готовності. Того ж року ми почали оцінювати кіберможливості наших моделей, а у 2025 році почали включати спеціальні засоби кіберзахисту(відкривається у новому вікні) у наші розгортання моделей. Раніше цього року ми розширили нашу підтримку фахівців із захисту з запуском Codex Security для виявлення та виправлення вразливостей у великих масштабах. Наш підхід до цього безперервного розвитку можливостей ґрунтується на трьох принципах:
- Демократизація доступу: Наша мета — зробити ці інструменти доступними для якомога більшої кількості людей, водночас запобігаючи зловживанням. Ми розробляємо механізми, які дають змогу уникнути довільного вирішення того, хто отримує доступ для законного використання, а хто — ні. Це означає використання чітких, об’єктивних критеріїв і методів, таких як надійні процедури KYC та перевірка особи, щоб визначати, хто може отримувати доступ до більш розширених можливостей, та автоматизувати ці процеси з часом. Ми прагнемо зрештою зробити передові захисні можливості доступними для уповноважених суб’єктів — як великих, так і малих, зокрема тих, хто відповідає за захист критичної інфраструктури, державних послуг і цифрових систем, від яких люди залежать щодня.
- Поступове впровадження: Ми дізнаємося найбільше, обережно впроваджуючи ці системи й поступово вдосконалюючи їх. Що краще ми розуміємо їхні можливості та ризики, то відповідніше оновлюємо наші моделі та системи безпеки. Це включає розуміння відмінностей у перевагах і ризиках конкретних моделей, підвищення стійкості до зламів та інших ворожих атак, а також удосконалення захисних можливостей із одночасним зменшенням шкоди.
- Інвестування у стійкість екосистеми: Ми підтримуємо та прискорюємо розвиток спільноти захисників через надійні канали доступу, цільові гранти, внески в ініціативи безпеки з відкритим кодом(відкривається у новому вікні) та технології, як-от Codex Security, які допомагають захисникам швидше знаходити та усувати вразливості.
Наша стратегія щодо стійкості у сфері кібербезпеки та оптимізації захисту
Протягом багатьох років наша стратегія кібербезпеки полягала в інвестуванні в дослідження, запобіганні зловживанням і посиленні можливостей захисників. Із розвитком можливостей моделей ми розширили наші програми для досягнення цих цілей, що ґрунтуються на таких переконаннях:
- Кіберризик уже став реальністю: ця тенденція стрімко набирає обертів, але ми здатні діяти. Цифрова інфраструктура багато років залишалася вразливою(відкривається у новому вікні), ще до появи передового ШІ. Тепер існуючі моделі можуть допомагати виявляти вразливості, аналізувати різні кодові бази та підтримувати важливі складові кібербезпекових процесів, а зловмисники експериментують із новими підходами на основі ШІ. Ми бачили, як складні системи оркестрації дають змогу виявляти дедалі потужніші можливості, використовуючи більше обчислень під час тестування з наявними моделями. Це означає, що заходи безпеки не можуть чекати на досягнення єдиного майбутнього порогу.
- Розширюйте доступ залежно від того, хто та як саме використовує ці системи. Кіберможливості за своєю природою мають подвійне призначення, тож ризик визначається не лише моделлю. Це також залежить від користувача, сигналів довіри(відкривається у новому вікні) навколо нього та рівня доступу, який йому надано.
- Широкий доступ до моделей загального призначення із захисними механізмами може співіснувати з детальнішим контролем для можливостей із підвищеним рівнем ризику, підкріпленим суворішою перевіркою, чіткішими сигналами наміру та кращою прозорістю використання.
- Щоб забезпечити відповідальне використання в широкому масштабі, потрібні системи, які можуть перевіряти надійність користувачів і сценаріїв використання більш автоматизованими й об’єктивними способами. Це дозволяє розширювати доступ на основі доказів і реальних сигналів довіри, а не покладатися на ухвалення рішень вручну. Ми не вважаємо практичним чи доречним централізовано вирішувати, хто має право себе захищати. Натомість ми прагнемо надати можливість якомога більшій кількості уповноважених захисників, забезпечуючи доступ на основі верифікації, сигналів довіри та підзвітності.
- Захисні механізми слід постійно масштабувати відповідно до зростання можливостей. У міру збільшення можливостей моделі захисні механізми мають масштабуватися разом із ними. Ми спостерігали стале покращення в агентному програмуванні, що має безпосередні наслідки для кібербезпеки, і відповідно адаптували наш підхід.
- Ми розпочали спеціалізоване навчання з кібербезпеки за допомогою GPT‑5.2, а потім розширили його додатковими заходами безпеки за допомогою GPT‑5.3‑Codex і GPT‑5.4, де ми також класифікували модель як таку, що має «високий» рівень кіберможливостей у межах нашої рамкової системи готовності. Паралельно ми розширили підтримку захисників: запустивши грантову програму з кібербезпеки на 10 млн дол. США, ми охопили понад 1 000 проєктів з відкритим кодом у рамках Codex for Open Source(відкривається у новому вікні), що надає безкоштовне сканування безпеки, і продовжили вдосконалювати Codex Security.
- Codex Security, який було запущено у форматі закритої бета-версії шість місяців тому, а також як дослідницьку попередню версію раніше цього року, автоматично відстежує кодові бази, перевіряє проблеми та пропонує виправлення. У міру того, як вдосконалювалися моделі, підвищувалися також точність і корисність системи. Із моменту нещодавнього запуску Codex Security вже допоміг усунути понад 3 000 критичних вразливостей і вразливостей високого рівня критичності, а також значно більше проблем нижчого рівня критичності в усій екосистемі.
- У цих релізах ми також удосконалили обробку чутливих запитів моделями, калібруючи межі відмови та розширюючи довірений доступ через програми, такі як TAC.
- Сама розробка програмного забезпечення має стати безпечнішою. Найсильніша екосистема — та, що безперервно виявляє, перевіряє та виправляє проблеми безпеки у процесі розробки програмного забезпечення. Інтегруючи передові моделі для програмування та агентні можливості в робочі процеси розробки, ми можемо надавати розробникам негайний практичний зворотний зв’язок під час створення продуктів, зміщуючи акцент у безпеці з епізодичних аудитів і статичних переліків помилок на безперервне, відчутне зменшення ризиків.
Ми прагнемо розширити можливості захисників, забезпечивши широкий доступ до передових технологій, зокрема моделей, спеціально розроблених для кібербезпеки. У лютому ми представили Trusted Access for Cyber (TAC), що включає автоматизовану перевірку особи для зменшення перешкод у кібербезпеці та співпрацю з обмеженим колом організацій для моделей із розширеними кіберможливостями.
Сьогодні ми розширюємо цю програму, запроваджуючи додаткові рівні доступу для користувачів, які готові співпрацювати з OpenAI та підтвердити свій статус як фахівців із кіберзахисту. Клієнти найвищих рівнів отримають доступ до GPT‑5.4‑Cyber — моделі, спеціально донавченої для отримання додаткових кіберможливостей із меншою кількістю обмежень. Це версія GPT‑5.4, яка знижує поріг відмови для легітимної роботи у сфері кібербезпеки та надає нові можливості для розширених робочих процесів в аспекті захисту, зокрема реверс-інжиніринг бінарних файлів, що дозволяє фахівцям із безпеки аналізувати скомпільоване програмне забезпечення на предмет шкідливого ПЗ, вразливостей і стійкості захисту без доступу до вихідного коду.
Оскільки ця модель є більш гнучкою, ми починаємо з обмеженого, поетапного впровадження для перевірених постачальників рішень у сфері безпеки, організацій та дослідників. Доступ до гнучких і кіберспроможних моделей може супроводжуватися обмеженнями, особливо щодо випадків використання без видимості, як-от нульове збереження даних(відкривається у новому вікні) (ZDR). Це особливо актуально для розробників і організацій, які отримують доступ до наших моделей через сторонні платформи, де OpenAI може мати обмежену видимість щодо користувача, середовища або мети запиту.
Отримати доступ до TAC дуже просто:
- Окремі користувачі можуть підтвердити свою особу на chatgpt.com/cyber(відкривається у новому вікні).
- Підприємства можуть запросити довірений доступ для своєї команди через особистого представника OpenAI.
Усі клієнти, схвалені в межах цього процесу, отримають доступ до версій наявних моделей зі зниженими обмеженнями, пов’язаними із заходами захисту, які можуть спрацьовувати у відповідь на кібердіяльність подвійного призначення, що дасть їм змогу й надалі підтримувати навчання у сфері безпеки, захисне програмування та відповідальні дослідження вразливостей. Клієнти, які вже беруть участь у TAC і готові додатково підтвердити, що вони є уповноваженими фахівцями з кіберзахисту, можуть повідомити нам про свою зацікавленість(відкривається у новому вікні) у додаткових рівнях доступу, зокрема подавши запит на доступ до GPT‑5.4‑Cyber.
Наші захисні механізми кібербезпеки є результатом багатомісячного ітеративного вдосконалення. Ми вважаємо, що застосовуваний сьогодні клас заходів безпеки достатньо знижує кіберризики, аби підтримувати широке розгортання поточних моделей. Ми очікуємо, що версій цих захисних механізмів буде достатньо для майбутніх потужніших моделей, тоді як моделі, явно навчені й зроблені більш ліберальними для роботи у сфері кібербезпеки, потребують суворіших умов розгортання та належних засобів контролю.
У довгостроковій перспективі, аби забезпечити сталу достатність безпеки ШІ у сфері кібербезпеки, ми також очікуємо потребу в ширших механізмах захисту для майбутніх моделей, чиї можливості швидко перевершать навіть найкращі спеціалізовані сучасні моделі.
