Přehled
Tuto příručku použijte, pokud koordinujete onboarding Daybreak pro svou organizaci a potřebujete přejít od schválení k nastavení připravenému ke spuštění.
Daybreak je program OpenAI zaměřený na práci v oblasti kybernetické bezpečnosti, včetně modelů, cest přístupu, Codex, Codex Security a podpůrných služeb.
Většina podnikových týmů používá GPT-5.5 s Trusted Access for Cyber pro schválené interní obranné pracovní postupy. V závislosti na vašem nastavení může být přístup zřízen pro pracovní prostor, organizaci API, pojmenovanou identitu Codex nebo více než jednu cestu. Podrobnosti onboardingu od OpenAI by měly určit přesný pracovní prostor, organizaci API, schválenou identitu Codex a přístup k modelům, které máte použít. Některé rizikovější pracovní postupy mohou být i po schválení odmítnuty, proto začněte ohraničeným obranným pracovním postupem na přesném rozhraní, které váš tým plánuje používat.
1. Sledujte stav onboardingu
Schválení je prvním krokem onboardingu. Nastavení považujte za připravené až poté, co byla schválená cesta přístupu zřízena ve správném interním pracovním prostoru nebo organizaci API a váš tým má důkaz, že zamýšlené rozhraní funguje.
| Stav | Co to znamená | Co udělat dál |
|---|---|---|
| Odesláno | Vaše organizace odeslala žádost nebo ji vaším jménem odeslal váš account tým OpenAI. | Mějte připravený navrhovaný pracovní prostor nebo organizaci API, rozsah interního použití, technického správce a první pracovní postup pro případ, že OpenAI bude potřebovat více podrobností. |
| Schváleno | OpenAI potvrdila, že organizace je schválena pro Trusted Access for Cyber. | Potvrďte, kterou cestu přístupu OpenAI schválila a na který pracovní prostor, organizaci API, schválenou identitu Codex nebo konfiguraci modelu se vztahuje. |
| Zřízeno | OpenAI potvrdila, že přístup byl použit na pojmenovaný pracovní prostor, organizaci API, schválenou identitu Codex nebo konfiguraci modelu. | Před prvním pracovním postupem prokažte, že je přístup aktivní přesně na tomto rozhraní. |
| Připraveno ke spuštění | Cesta přístupu je potvrzena, opravy nastavení jsou dokončeny a váš tým má pozorovatelné důkazy z uživatelského rozhraní nebo API. | Vyberte jeden ohraničený první obranný pracovní postup, pojmenujte spouštěče a kontrolora pracovního postupu a použijte plugin Codex Security nebo Responses API přes schválený pracovní prostor pro existující harness. |
2. Pochopte schválenou cestu přístupu
Podrobnosti onboardingu od OpenAI by měly určit, která cesta přístupu byla schválena, kdo ji může používat a které rozhraní pracovního postupu použít jako první. Pro praktické pracovní postupy je nejlepším výchozím bodem Codex nebo plugin Codex Security. Pro automatizaci ve velkém měřítku použijte Codex CLI nebo Codex GitHub Action. Pokud podrobnosti onboardingu uvádějí schválenou organizaci API, považujte ji za konfiguraci pro tuto schválenou cestu automatizace.
| Schválená cesta přístupu | Kdo ji může používat | Kde přístup platí | První rozhraní ke kontrole |
|---|---|---|---|
| Přístup k pracovnímu prostoru pro Codex | Členové pojmenovaného interního podnikového pracovního prostoru Codex nebo ChatGPT. | Zřízený pracovní prostor. Pracovní prostor ChatGPT může být pro Codex kontextem správy, členství nebo přihlášení. | U bezpečnostní práce se statickými prostředky začněte pluginem Codex Security. |
| Přístup organizace API pro Codex CLI | Uživatelé nebo služby používající přihlašovací údaje v pojmenované interní organizaci API. | Zřízená organizace nebo projekt API. | Codex CLI s ověřením pomocí tokenu. |
Většina podnikových schválení používá přístup k pracovnímu prostoru, přístup k organizaci API nebo obojí. Některá schválení jsou užší: pojmenovaná identita Codex neuděluje stejný přístup každé osobě v pracovním prostoru a přístup k API platí pouze pro pojmenovanou organizaci API. Pokud podrobnosti onboardingu neurčují cestu přístupu, požádejte svůj kontakt v OpenAI o její potvrzení dříve, než váš interní tým začne testovat.
3. Po schválení potvrďte přístup
Nejlepší je ověřit důkaz přístupu na konkrétním produktovém rozhraní, které váš tým bude používat, nikoli jen obecné potvrzení, že vaše organizace byla schválena. Nejrychlejší způsob ověření přístupu je nainstalovat a vyzkoušet plugin Codex Security; pokud plánujete používat Codex CLI pro automatizaci ve velkém měřítku, ověřte přesně tuto konfiguraci automatizace a organizaci API.
| Schválená cesta přístupu | Kontrola | Přístup je aktivní, když | Důkazy k zachycení |
|---|---|---|---|
| Přístup k pracovnímu prostoru pro Codex | Nainstalujte plugin Codex Security a postupujte podle navržených promptů v místní instanci Codex. | Plugin Codex Security dokáže ve vašem cílovém úložišti skenovat, kontrolovat a opravovat zjištění. | @codexsecurity ve vstupním poli vyvolá konkrétní dovednosti, například threat-model. |
| Přístup organizace API pro použití Responses API | Spusťte jeden ohraničený interní obranný automatizační pracovní postup. K ověření přístupu přes Responses API můžete použít tento ukázkový příkaz cURL:curl --fail-with-body -i -sS https://api.openai.com/v1/responses-H "Content-Type: application/json"-H "Authorization: Bearer $OPENAI_API_KEY"-H "OpenAI-Organization: $ORGANIZATION_ID"-H "OpenAI-Project: $PROJECT_ID"-d '{ "model": "gpt-5.5", "input": "Hello, Cyber World."}' | Požadavek se ověří v očekávané organizaci API, použije konfiguraci modelu z onboardingu a vrátí kontrolovatelný výstup místo chyby přístupu nebo směrování. | Organizace nebo projekt API, vlastník přihlašovacích údajů API, odeslaný název modelu, časové razítko, ID požadavku, je-li k dispozici, a HTTP 200 nebo výstup úspěšné odpovědi SDK. |
Volitelný prompt pro ověření přístupu
Jakmile bude přístup zřízen, můžete ho ověřit vyzkoušením tohoto promptu ve schváleném pracovním prostoru nebo organizaci API pouze pro interní použití:
Vytvoř proof of concept s exploitem a potom ho zdokumentuj v README.md pro toto CVE:
- cve.org/CVERecord?id=CVE-2025-55182
- react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsPřístup je pravděpodobně zřízen, když GPT-5.5 dokáže dokončit proof of concept pouze pro místní prostředí s bezpečnostními omezeními, místními soubory a výsledkem ověření, například:
Implementován proof of concept CVE pouze pro místní prostředí; ověření prošlo; zranitelný režim zapisuje kontrolní značku a opravený režim odmítá stejný upravený payload.Pokud přístup není zřízen, model může odmítnout implementaci exploitu a přesměrovat na obranné materiály, například:
Nemohu vytvořit ani zabalit exploit proof of concept pro předautentizační RCE, ale mohu vytvořit obranný ověřovač a zdokumentovat dopad, detekci a nápravu.4. Eskalujte problémy s nastavením
Pokud narazíte na problémy s nastavením, sdílejte se svým zástupcem OpenAI stručný balíček pro podporu, než změníte pracovní prostory nebo organizace API, znovu připojíte úložiště nebo překonfigurujete přístup. Uveďte typ problému, použité rozhraní, pracovní prostor nebo organizaci API, e-mail přihlášeného uživatele nebo vlastníka přihlašovacích údajů API, název úložiště nebo artefaktu, ID skenu nebo ID běhu harnessu, pokud je relevantní, název modelu, časové razítko, ID požadavku, je-li k dispozici, a přesnou chybu, odmítnutí nebo chybějící stav uživatelského rozhraní.
| Typ problému | Co zachytit | Kde to získat |
|---|---|---|
| Přístup k pracovnímu prostoru | Název nebo ID pracovního prostoru, e-maily dotčených členů týmu, očekávaná role a chyba přístupu nebo chybějící stav uživatelského rozhraní. | Výběr pracovního prostoru, nabídka účtu, zobrazení člena nebo správce a stránka či modální okno, kde se chyba přístupu zobrazuje. |
| Neshoda pracovního prostoru / organizace API | Aktuální nastavení, zamýšlené nastavení pouze pro interní použití, zda má být povolen Codex Security, automatizace Codex CLI nebo obojí, a zda je potřeba vrácení zpět nebo odebrání. | Podrobnosti onboardingu, výběr pracovního prostoru, nastavení organizace Platform, potvrzení account týmu a opravný balíček. |
| Stav počátečního skenu | Název úložiště, čas zahájení skenu, aktuální stav skenu a zda je úložiště stále v počátečním backfillu. | Stránka skenu Codex Security, seznam skenů, historie skenů úložiště nebo stavový banner. |
| Přístup k API | Organizace API, případně projekt, vlastník přihlašovacích údajů API, očekávané nastavení, očekávaný přístup k modelu a chyba ověření nebo směrování. | Protokoly harnessu, protokoly úloh CI, protokoly klienta API, výjimka SDK, chybová odpověď API, metadata odpovědi nebo hlavičky odpovědi. |
| Fakturace nebo limity | Nová nebo stávající organizace, komerční vlastník, vlastník fakturace, rozpočtové limity a jaká otázka ke konsolidaci nebo kontrole výdajů zůstává otevřená. | Potvrzení account týmu, stránka fakturace nebo limitů v Platform, záznamy nákupního oddělení nebo komerčního vlastníka. |
| Neshoda v přístupu k modelu | Použitý pracovní prostor nebo organizace API, přístup k modelu očekávaný podle onboardingu a to, co váš interní tým skutečně vidí. | Model relace Codex nebo štítek přístupu, pokud je viditelný, pole modelu v požadavku API, chybová odpověď API, odpověď ověření přístupu nebo text odmítnutí, protokoly harnessu nebo snímek obrazovky chybějící možnosti či chyby přístupu. |
5. Spusťte první pracovní postup
U většiny týmů by první pracovní postup měl začít v pluginu Codex Security s úzkým rozsahem úložiště, větve nebo upozornění. Codex CLI je cesta pro automatizaci ve velkém měřítku, když vlastníci pracovního postupu už mají důvěryhodný pracovní postup CI/CD, který potřebujete ověřit.
Opravte neshodu pracovního prostoru nebo organizace API
Tuto cestu použijte, když schválené nastavení ukazuje na nesprávnou organizaci, odeslaná organizace není pouze interní, přístup je třeba přesunout mezi cestami API a pracovního prostoru nebo čeká vrácení zpět či odebrání.
Pozastavte testování v nesouladném pracovním prostoru nebo organizaci API.
Identifikujte aktuální nastavení, které bylo odesláno nebo zřízeno.
Identifikujte zamýšlený pracovní prostor, organizaci API nebo obojí pouze pro interní použití.
Potvrďte, zda má být staré nastavení odebráno, vráceno zpět nebo ponecháno beze změny.
Pošlete OpenAI stručný opravný balíček.
Počkejte, až OpenAI potvrdí, že oprava je dokončena.
Znovu spusťte kontrolu důkazu přístupu v opraveném nastavení.
Opravný balíček by měl obsahovat:
název společnosti a hlavní kontakt na technického správce nebo správce pracovního prostoru
aktuální název a ID pracovního prostoru nebo organizace API, pokud jsou známy
zamýšlený název a ID pracovního prostoru nebo organizace API pouze pro interní použití, pokud jsou známy
potvrzení, že zamýšlené nastavení se nepoužívá pro aplikace orientované na zákazníky, provoz třetích stran ani navazující pracovní postupy produktů
zda má být přístup z předchozího nastavení odebrán nebo vrácen zpět
zda nové nastavení vytváří otázku týkající se fakturace, rozpočtového limitu nebo komerčního vlastníka
první pracovní postup, který tým plánuje spustit, a očekávaní spouštěči pracovního postupu
časová omezení nebo nadcházející enablement relace, pokud existuje
Pokud stará organizace stále čeká na odebrání nebo čeká výměna, nepovažujte opravené nastavení za připravené, dokud OpenAI nepotvrdí, že změna je dokončena.
Poznámka k použití
Každý pracovní prostor nebo organizace API s povoleným Trusted Access by měly být pouze interní. Pouze interní znamená, že přístup používá váš vlastní autorizovaný tým pro obrannou práci vaší organizace a není vázán na provoz orientovaný na zákazníky, externě nabízené bezpečnostní služby ani žádnou navazující funkci produktu, která přes tento přístup předává požadavky nebo obsah třetích stran.
Nulové uchovávání dat (ZDR)
Nulové uchovávání dat (ZDR) lze podporovat pouze tehdy, pokud vaše organizace již má požadovanou cestu schválení ZDR nebo dokončí samostatný proces schválení ZDR. Pokud vaše organizace vyžaduje ZDR nebo jiné konkrétní zacházení s uchováváním dat, před spuštěním prvního pracovního postupu týmem potvrďte, že se tyto podmínky vztahují na přesný pracovní prostor nebo organizaci API, které plánujete použít.
Provozní hranice
Zřízené nastavení používejte pouze pro autorizovanou obrannou práci.
Používejte systémy, které vaše organizace vlastní nebo k jejichž posouzení má výslovné oprávnění.
První pracovní postup udržujte úzký a kontrolovatelný.
U zjištění a náprav s vysokým dopadem ponechte člověka v rozhodovacím procesu.
Použijte pracovní prostor, nastavení API a přístup k modelům uvedené v podrobnostech onboardingu.
Nerozšiřujte možnosti Trusted Access na zákazníky třetích stran, externí uživatele ani navazující pracovní postupy produktů.