Общ преглед
Използвайте това ръководство, ако координирате въвеждането в Daybreak за вашата организация и трябва да преминете от приемане на заявката през предоставяне на достъп до готова за стартиране настройка.
Daybreak е програмата на OpenAI, насочена към работа в областта на киберсигурността, включително модели, пътища за достъп, Codex, Codex Security и поддържащи услуги.
Повечето корпоративни екипи използват GPT-5.5 с Trusted Access for Cyber за одобрени вътрешни защитни работни процеси. За този път за достъп OpenAI предоставя достъп на организацията или работното пространство, идентифицирани чрез процеса на приемане, след приключване на проверката Persona KYB и вътрешните проверки за пригодност. Достъпът може да се отнася за организация в Codex или ChatGPT, API организация или и двете, в зависимост от одобрената настройка.
Някои работни процеси с по-висок риск може все пак да бъдат отказани след предоставянето на достъп, затова започнете с ограничен защитен работен процес на точната повърхност, която екипът ви планира да използва.
Проследявайте състоянието на въвеждането и предоставянето на достъп
| Фаза | Описание | Какво да направите след това |
|---|---|---|
| Подайте формуляра за приемане | Вашата организация е попълнила корпоративния формуляр за приемане за Trusted Access | Следете за имейл от Persona и завършете KYB проверката. Уверете се, че имейлът от Persona достига до правилния контакт в организацията. |
| Получете и завършете KYB имейла от Persona | След подаване на формуляра за приемане Persona изпраща имейл до контакта, посочен във вашия формуляр, за да завърши проверката Know Your Business (KYB). | Изпълнете заявката за Persona KYB. След приключване на KYB OpenAI извършва вътрешни проверки за пригодност и предоставя достъп само след успешното им преминаване. |
| Получете известие, че достъпът ви е предоставен | OpenAI приложи достъпа към организацията или работното пространство, заявени във формуляра за приемане. | Проверете дали достъпът е правилно предоставен на заявената повърхност. Имайте предвид, че в момента достъпът не се показва в видимо за клиента табло на работното пространство. |
| Проверете дали имате достъп и започнете ограничен защитен работен процес | Предоставената организация или работно пространство е потвърдена и предвидената проверка на достъпа е успешна | Изберете един първи ограничен защитен работен процес, посочете изпълнителя и проверяващия на процеса и използвайте плъгина Codex Security или одобрена Responses API организация. |
Разберете предоставения път за достъп
Потвърждението от OpenAI трябва да посочва кой път за достъп е предоставен, кой може да го използва и коя организация или работно пространство да се използва първо.
За практически работни процеси с хранилища започнете с Codex или плъгина Codex Security. Използвайте Codex CLI или Codex GitHub Action за одобрена автоматизация. Ако достъпът е предоставен на API организация, ограничете заявките и идентификационните данни до тази организация.
| Предоставен път за достъп | Кой може да го използва | Къде се прилага достъпът | Първа повърхност за валидиране на достъпа |
|---|---|---|---|
| Достъп чрез Codex | Членове на посочената вътрешна организация или работно пространство в Codex или ChatGPT | Предоставената организация или работно пространство. За този път достъпът важи за цялата организация | За работа по сигурността на статични активи започнете с плъгина Codex Security. |
| Достъп чрез API организация | Потребители или услуги, удостоверени към посочената вътрешна API организация | Предоставената API организация | Responses API или друг одобрен API работен процес на Codex. |
За GPT-5.5 с Trusted Access for Cyber достъпът до работно пространство се предоставя на посочената организация в Codex или ChatGPT, а API достъпът се предоставя на посочената API организация. Ако в потвърждението ви е посочен различен път на ниво потребител или специфичен за модел, следвайте точно тези инструкции, вместо да приемате, че достъпът важи за цялата организация. Ако предоставеният път за достъп не е ясен, помолете вашия контакт в OpenAI да го потвърди, преди да тествате.
Валидирайте предоставения достъп
След като OpenAI потвърди предоставянето на достъп, изпълнете тази подкана на точно потвърдената повърхност. Това може да стане в Codex, докато сте влезли във вътрешната организация или работно пространство, или чрез Responses API с идентификационни данни от потвърдената API организация.
Създайте доказателствена концепция с експлойта, след което я документирайте в README.md за CVE-2025-55182. Използвайте тези референции:
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsПроверката на достъпа е успешна, когато GPT-5.5 завърши ограничената локална доказателствена концепция с ограничения за безопасност, локални файлове и резултат от проверка, например:
Имплементирана е локална доказателствена концепция за CVE; проверката премина успешно; уязвимият режим записва маркер за доказателство, а коригираният режим отхвърля същия специално създаден payload.Ако подканата бъде отказана или не даде очаквания ограничен резултат, първо потвърдете самоличността, с която сте влезли, и организацията или работното пространство. Резултатът може да показва непълно предоставяне на достъп, несъответствие в маршрутизирането или граница на правилата. Ако предоставянето на достъп е завършено и проблемът продължава, следвайте Trusted Access for Cyber – често срещани проблеми и отстраняване на неизправности за диагностични стъпки и подробностите, които да включите при контакт с поддръжката. За да отворите заявка към поддръжката, вижте: Как мога да се свържа с поддръжката? Отказът може да изглежда така:
Не мога да изградя или пакетирам доказателствена концепция за експлойт за RCE преди удостоверяване, но мога да изградя защитен проверител и да документирам въздействието, откриването и отстраняването.Ескалирайте проблеми с настройката
Преди да променяте работни пространства, API организации, хранилища или идентификационни данни, помолете екипа за вашия акаунт в OpenAI да потвърди, че предоставянето на достъп е завършено и че предвидената организация, работно пространство и път за достъп са правилни.
При проблеми с проверката, достъпа, модела или безопасността в киберсигурността следвайте Trusted Access for Cyber – често срещани проблеми и отстраняване на неизправности. Там са включени диагностични стъпки и информацията, която да предоставите при контакт с поддръжката, като например ИД на организацията, продуктова повърхност, модел, пълно съобщение за грешка, ИД на заявка, времеви печат и часова зона, екранна снимка, когато е приложимо, и кратко редактирано описание на задачата.
За да отворите заявка към поддръжката, вижте: Как мога да се свържа с поддръжката?
Започнете първия работен процес
За повечето екипи първият работен процес трябва да започне в плъгина Codex Security с тесен обхват на хранилище, клон или предупреждение. Codex CLI е пътят за автоматизация в мащаб, когато собствениците на работния процес вече имат надежден CI/CD работен процес, който трябва да валидирате.
Коригирайте несъответствие в работното пространство или API организацията
Използвайте този път, когато одобрената настройка сочи към грешна организация, подадената организация не е само за вътрешна употреба, достъпът трябва да се премести между API и работно пространство или предстои връщане назад/премахване.
Поставете на пауза тестването в несъответстващото работно пространство или API организация.
Идентифицирайте текущата настройка, която е подадена или за която е предоставен достъп.
Идентифицирайте предвиденото вътрешно работно пространство, API организация или и двете.
Потвърдете дали старата настройка трябва да бъде премахната, върната назад или оставена без промяна.
Изпратете данните по-долу на екипа за вашия акаунт в OpenAI като заявка за корекция.
Изчакайте OpenAI да потвърди, че корекцията е завършена.
Изпълнете отново проверката за доказване на достъп в коригираната настройка.
Включете:
име на компанията и основен технически контакт или администратор на работното пространство
име и ИД на текущото работно пространство или API организация, ако са известни
име и ИД на предвиденото вътрешно работно пространство или API организация, ако са известни
потвърждение, че предвидената настройка не се използва за приложения, насочени към клиенти, трафик от трети страни или последващи продуктови работни процеси
дали достъпът трябва да бъде премахнат или върнат назад от предишната настройка
дали новата настройка поражда въпрос за фактуриране, бюджетен лимит или търговски собственик
първия работен процес, който екипът планира да изпълни, и очакваните изпълнители на работния процес
ограничения във времето или предстояща сесия за активиране, ако има такива
Ако премахването на стара организация или смяна все още предстои, считайте коригираната настройка за неготова, докато OpenAI не потвърди, че промяната е завършена.
Бележка за използването
Всяко работно пространство или API организация с активиран Trusted Access трябва да бъде само за вътрешна употреба. „Само за вътрешна употреба“ означава, че достъпът се използва от вашия собствен упълномощен екип за защитната работа на организацията ви и не е свързан с трафик към клиенти, външно предлагани услуги за сигурност или функция на продукт надолу по веригата, която пропуска заявки или съдържание на трети страни през този достъп.
Нулево задържане на данни (ZDR)
Предоставянето на достъп за Trusted Access не активира автоматично нулево задържане на данни (ZDR). ZDR трябва да бъде заявено и предоставено отделно за точната организация. Ако вашата организация изисква ZDR или друг конкретен режим за задържане на данни, потвърдете, че организацията, която планирате да използвате, е обхваната от тези условия, преди екипът ви да започне първия работен процес.
Оперативни граници
Използвайте предоставената настройка само за упълномощена защитна работа.
Използвайте системи, които вашата организация притежава или за които има изрично разрешение да оценява.
Поддържайте първия работен процес тесен и удобен за преглед.
Дръжте хората в процеса при констатации с голямо въздействие и при отстраняване на проблеми.
Използвайте работното пространство, API настройката и достъпа до модел, посочени в данните за въвеждането ви.
Не разширявайте възможностите на Trusted Access към клиенти трети страни, външни потребители или работни процеси на продукти надолу по веригата.
