Надежный доступ для киберзащиты нового поколения | OpenAI

Мы продолжаем совершенствовать надежный доступ, средства защиты и поддержку экосистемы, чтобы помочь специалистам по кибербезопасности защитить всех нас.

Мы расширяем нашу программу Trusted Access for Cyber (TAC), охватывающую тысячи проверенных отдельных специалистов по кибербезопасности и сотни команд, ответственных за защиту критически важного программного обеспечения. В течение многих лет мы создавали программу киберзащиты на основе принципов демократизированного доступа, итеративного развертывания и устойчивости экосистемы. В рамках подготовки к появлению всё более совершенных моделей от OpenAI в ближайшие несколько месяцев, мы дорабатываем наши модели специально для обеспечения сценариев использования в области кибербезопасности, начиная сегодня с варианта GPT-5.4, обученного для работы в условиях, допускающих киберугрозы: GPT-5.4-Cyber. В этом посте мы расскажем о том, как, по нашему мнению, наш подход к масштабированию киберзащиты будет синхронно с увеличением возможностей моделей, что поможет в тестировании и развертывании будущих версий.

Постепенное внедрение ИИ ускоряет работу специалистов по кибербезопасности — тех, кто отвечает за безопасность систем, данных и пользователей, — позволяя им быстрее находить и устранять проблемы в цифровой инфраструктуре, от которой все зависят. Аналогичным образом, ИИ используется злоумышленниками , стремящимися причинить вред. Мы к этому готовились. С 2023 года мы поддерживаем специалистов по кибербезопасности в рамках нашей программы грантов по кибербезопасности и усиливаем меры защиты с помощью нашей системы обеспечения готовности . В том же году мы начали оценивать кибервозможности наших моделей, а в 2025 году начали включать в наши модели меры защиты, специфичные для кибербезопасности (открывается в новом окне) . В начале этого года мы еще больше укрепили нашу поддержку специалистов по кибербезопасности, запустив Codex Security для выявления и устранения уязвимостей в масштабах всей системы. Наш подход к непрерывному совершенствованию возможностей руководствуется тремя принципами:

• Демократизированный доступ: Наша цель — сделать эти инструменты максимально доступными, предотвращая при этом злоупотребления. Мы разрабатываем механизмы, которые позволяют избежать произвольного определения того, кто получает доступ для законного использования, а кто нет. Это означает использование четких, объективных критериев и методов — таких как строгая проверка личности и KYC — для определения того, кто может получить доступ к более продвинутым возможностям, и автоматизацию этих процессов с течением времени. В конечном итоге мы стремимся сделать передовые средства защиты доступными для законных субъектов, как крупных, так и малых, включая тех, кто отвечает за защиту критической инфраструктуры, государственных услуг и цифровых систем, от которых люди зависят каждый день.
• Итеративное развертывание: Мы получаем наибольшие знания, тщательно внедряя эти системы в мир и совершенствуя их с течением времени. По мере того, как мы лучше понимаем как их возможности, так и риски, мы соответствующим образом обновляем наши модели и системы безопасности. Это включает в себя понимание различий в преимуществах и рисках конкретных моделей, повышение устойчивости к взлому и другим враждебным атакам, а также улучшение защитных возможностей — при одновременном снижении вреда.
• Инвестиции в устойчивость экосистемы: мы поддерживаем и ускоряем развитие сообщества специалистов по защите данных посредством предоставления доверенных каналов доступа, целевых грантов , вклада в инициативы по безопасности с открытым исходным кодом (открывается в новом окне) и таких технологий, как Codex Security , которые помогают специалистам по защите данных быстрее находить и устранять уязвимости.

Наша стратегия обеспечения устойчивости к киберугрозам и ускорения защиты

На протяжении многих лет наша стратегия в области кибербезопасности заключалась в инвестировании в исследования, предотвращении неправомерного использования и ускорении разработки средств защиты. По мере развития возможностей моделирования мы расширяли наши программы в направлении достижения этих целей, которые основаны на следующих убеждениях:

• Киберриски уже существуют и набирают обороты, но мы можем действовать. Цифровая инфраструктура была уязвима (открывается в новом окне) задолго до появления передового ИИ. Теперь существующие модели могут помочь в поиске уязвимостей, анализе кодовых баз и поддержке важных частей киберпроцесса, а злоумышленники экспериментируют с новыми подходами, основанными на ИИ. Мы видим, как сложные системы обеспечивают все более мощные возможности за счет использования большего объема вычислительных ресурсов во время тестирования с существующими моделями. Это означает, что меры защиты не могут ждать какого-либо будущего порогового значения.
  
• Расширяйте доступ в зависимости от того, кто использует эти системы и как они используются. Кибербезопасность по своей природе имеет двойное назначение, поэтому риск определяется не только моделью. Он также зависит от пользователя, сигналов доверия (открывается в новом окне) вокруг него и уровня предоставленного ему доступа.
  • Широкий доступ к общим моделям с механизмами защиты может сосуществовать с более детальным контролем над возможностями с более высоким риском, чему способствуют более строгая проверка, более четкие сигналы о намерениях и лучшая прозрачность использования.
  • Для обеспечения ответственного использования в масштабах всей системы нам необходимы системы, способные более автоматизированным и объективным способом проверять надежность пользователей и сценарии использования. Это позволит нам расширять доступ на основе доказательств и реальных сигналов доверия, а не полагаться на ручные решения. Мы считаем, что централизованное решение о том, кто имеет право защищаться, нецелесообразно и неуместно. Вместо этого мы стремимся предоставить доступ как можно большему числу законных защитников, основывая его на проверке, сигналах доверия и подотчетности.
    
• Системы защиты должны постоянно масштабироваться в соответствии с их возможностями. По мере роста возможностей моделей, системы защиты должны масштабироваться вместе с ними. Мы наблюдаем устойчивые улучшения в программировании агентов, которые имеют прямое отношение к кибербезопасности, и мы соответствующим образом адаптируем наш подход.
  • Мы начали обучение по кибербезопасности с GPT-5.2, затем расширили его, добавив дополнительные меры защиты в GPT-5.3-Codex и GPT-5.4, где также классифицировали модель как обладающую «высоким» уровнем кибербезопасности в рамках нашей системы обеспечения готовности. Параллельно мы усилили поддержку специалистов по кибербезопасности: запустили программу грантов по кибербезопасности на сумму 10 миллионов долларов , привлекли более 1000 проектов с открытым исходным кодом к участию в Codex for Open Source (открывается в новом окне), которая предоставляет бесплатное сканирование безопасности, и продолжили совершенствовать Codex Security.
  • Система Codex Security, запущенная в закрытом бета-тестировании шесть месяцев назад, а также в качестве предварительной версии для исследований в начале этого года , автоматически отслеживает кодовые базы, проверяет наличие проблем и предлагает решения. По мере улучшения моделей повышалась и точность, и полезность системы. С момента недавнего запуска Codex Security внесла свой вклад в исправление более 3000 критических и сложных уязвимостей, а также множества других менее серьезных проблем в рамках всей экосистемы.
  • В рамках этих обновлений мы также усовершенствовали обработку моделями конфиденциальных запросов, откалибровав границы отказа и расширив доверенный доступ с помощью таких программ, как TAC.
    
• Сам процесс разработки программного обеспечения необходимо сделать более безопасным. Наиболее эффективная экосистема — это та, которая постоянно выявляет, проверяет и устраняет проблемы безопасности в процессе написания программного обеспечения. Интегрируя передовые модели кодирования и возможности агентов в рабочие процессы разработчиков, мы можем предоставлять разработчикам немедленную и полезную обратную связь в процессе создания, переводя безопасность из разряда эпизодических проверок и статических списков ошибок в постоянное и ощутимое снижение рисков.
  

Масштабирование доверенного доступа для кибербезопасности и GPT-5.4-Cyber

Мы хотим расширить возможности специалистов по кибербезопасности, предоставив им широкий доступ к передовым технологиям, включая модели, специально разработанные для этой области. В феврале мы представили Trusted Access for Cyber (TAC), который включает в себя как автоматическую проверку личности отдельных лиц с целью снижения сложности мер безопасности при выполнении задач, связанных с кибербезопасностью, так и сотрудничество с ограниченным кругом организаций для создания более гибких в киберпространстве моделей.

Сегодня мы расширяем эту программу, вводя дополнительные уровни доступа для пользователей, желающих работать с OpenAI и аутентифицироваться как специалисты по кибербезопасности. Клиенты, выбравшие самые высокие уровни, получат доступ к GPT-5.4-Cyber — модели, специально оптимизированной для дополнительных возможностей в области кибербезопасности и имеющей меньше ограничений. Это версия GPT-5.4, которая снижает порог отказа для легитимной работы в сфере кибербезопасности и открывает новые возможности для сложных защитных процессов, включая возможности обратного проектирования бинарных файлов, позволяющие специалистам по безопасности анализировать скомпилированное программное обеспечение на предмет потенциального вредоносного ПО, уязвимостей и надежности системы без необходимости доступа к его исходному коду.

Поскольку эта модель более гибкая, мы начинаем с ограниченного, итеративного развертывания среди проверенных поставщиков решений в области безопасности, организаций и исследователей. Доступ к гибким и кибербезопасным моделям может быть ограничен, особенно в отношении использования без прямой видимости, например, с нулевым хранением данных (ZDR). Это особенно актуально для разработчиков и организаций, получающих доступ к нашим моделям через сторонние платформы, где OpenAI может иметь меньше прямой информации о пользователе, среде или цели запроса.

Получить доступ к TAC очень просто:

• Отдельные пользователи могут подтвердить свою личность по адресу: chatgpt.com/cyber (откроется в новом окне) .
• Предприятия могут запросить доверенный доступ для своей команды через представителя OpenAI.

Все клиенты, одобренные в рамках этой процедуры, получат доступ к версиям существующих моделей с уменьшенными сложностями в отношении мер защиты, которые могут срабатывать при кибердеятельности двойного назначения, что позволит им продолжать поддерживать обучение в области безопасности, разработку защитных программ и ответственное исследование уязвимостей. Клиенты, уже находящиеся в TAC и желающие дополнительно подтвердить свой статус законных специалистов по киберзащите, могут выразить заинтересованность (открывается в новом окне) в дополнительных уровнях доступа, включая запрос доступа к GPT-5.4-Cyber.

В преддверии выхода нашей новой модели и в дальнейшем.

Наши средства защиты от киберугроз являются результатом многомесячной итеративной работы по их совершенствованию. Мы считаем, что используемый сегодня класс мер защиты достаточно снижает киберриски, чтобы обеспечить широкое внедрение существующих моделей. Мы ожидаем, что версии этих мер защиты будут достаточны для будущих, более мощных моделей, в то время как модели, специально обученные и адаптированные для работы в сфере кибербезопасности, потребуют более строгих мер защиты и соответствующих средств контроля.

В долгосрочной перспективе, для обеспечения достаточной безопасности ИИ в сфере кибербезопасности, мы также ожидаем необходимости в более масштабных мерах защиты для будущих моделей, возможности которых быстро превзойдут даже лучшие специализированные модели сегодня.

Источник: openai.com