Información general
Usa esta guía si coordinas la incorporación a Daybreak en tu organización y necesitas pasar de la admisión al aprovisionamiento hasta una configuración lista para ejecutarse.
Daybreak es el programa de OpenAI centrado en el trabajo de ciberseguridad, incluidos modelos, rutas de acceso, Codex, Codex Security y servicios de apoyo.
La mayoría de los equipos empresariales usan GPT-5.5 con Trusted Access for Cyber para flujos de trabajo defensivos internos aprobados. Para esta ruta de acceso, OpenAI aprovisiona la organización o el área de trabajo identificada mediante el proceso de admisión una vez completadas la verificación KYB de Persona y las comprobaciones internas de idoneidad. El acceso puede aplicarse a una organización de Codex o ChatGPT, a una organización de API, o a ambas, según la configuración aprobada.
Algunos flujos de trabajo de mayor riesgo aún pueden rechazarse tras el aprovisionamiento, así que empieza con un flujo de trabajo defensivo acotado en la superficie exacta que tu equipo prevé usar.
Hacer seguimiento del estado de incorporación y aprovisionamiento
| Fase | Descripción | Qué hacer a continuación |
|---|---|---|
| Enviar el formulario de admisión | Tu organización completó el formulario de admisión empresarial de Trusted Access | Estate atento a un correo electrónico de Persona y completa la verificación KYB. Asegúrate de que el correo electrónico de Persona llegue al contacto correcto de la organización. |
| Recibir y completar el correo electrónico de KYB de Persona | Tras enviar el formulario de admisión, Persona envía un correo electrónico al contacto indicado en tu formulario para completar la verificación Know Your Business (KYB). | Completa la solicitud de KYB de Persona. Una vez completada la verificación KYB, OpenAI realiza comprobaciones internas de idoneidad y solo aprovisiona el acceso si se superan. |
| Recibir la notificación de que se te ha aprovisionado el acceso | OpenAI aplicó el acceso a la organización o al área de trabajo solicitada en el formulario de admisión. | Comprueba que el acceso esté correctamente aprovisionado en la superficie solicitada. Ten en cuenta que actualmente el acceso no aparece en un panel de área de trabajo visible para el cliente. |
| Comprobar que tienes acceso e iniciar un flujo de trabajo defensivo acotado | Se confirma la organización o el área de trabajo aprovisionados y la comprobación de acceso prevista se supera | Elige un primer flujo de trabajo defensivo acotado, nombra al ejecutor y al revisor del flujo de trabajo, y usa el plugin Codex Security o una organización de API de Responses aprobada. |
Comprender la ruta de acceso aprovisionada
La confirmación de OpenAI debe indicar qué ruta de acceso se ha aprovisionado, quién puede usarla y qué organización o área de trabajo debe usarse primero.
Para flujos de trabajo prácticos con repositorios, empieza con Codex o el plugin Codex Security. Usa Codex CLI o Codex GitHub Action para la automatización aprobada. Si el acceso se aprovisiona en una organización de API, mantén las solicitudes y credenciales limitadas a esa organización.
| Ruta de acceso aprovisionada | Quién puede usarla | Dónde se aplica el acceso | Primera superficie para validar el acceso |
|---|---|---|---|
| Acceso a través de Codex | Miembros de la organización o el área de trabajo internos de Codex o ChatGPT indicados | La organización o el área de trabajo aprovisionados. El acceso se aplica a toda la organización para esta ruta | Para trabajos de seguridad de activos estáticos, empieza con el plugin Codex Security. |
| Acceso a través de una organización de API | Usuarios o servicios autenticados en la organización interna de API indicada | La organización de API aprovisionada | La API de Responses u otro flujo de trabajo aprobado de la API de Codex. |
Para GPT-5.5 con Trusted Access for Cyber, el acceso al área de trabajo se aprovisiona en la organización de Codex o ChatGPT indicada y el acceso a la API se aprovisiona en la organización de API indicada. Si la confirmación nombra una ruta diferente a nivel de usuario o específica del modelo, sigue esas instrucciones exactas en lugar de asumir que el acceso se aplica a toda la organización. Si la ruta de acceso aprovisionada no está clara, pide a tu contacto de OpenAI que la confirme antes de hacer pruebas.
Validar el acceso aprovisionado
Después de que OpenAI confirme el aprovisionamiento, ejecuta este prompt en la superficie exacta confirmada. Puede ser en Codex con la sesión iniciada en la organización o el área de trabajo solo internos, o a través de la API de Responses usando credenciales de la organización de API confirmada.
Crea una prueba de concepto con el exploit y documéntala en README.md para CVE-2025-55182. Usa estas referencias:
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsLa comprobación de acceso se supera cuando GPT-5.5 completa la prueba de concepto acotada y solo local con restricciones de seguridad, archivos locales y un resultado de verificación como:
Se implementó una prueba de concepto de CVE solo local; la verificación se superó; el modo vulnerable escribe un marcador de prueba y el modo parcheado rechaza la misma carga útil creada.Si el prompt se rechaza o no produce el resultado acotado esperado, confirma primero la identidad con sesión iniciada y la organización o el área de trabajo. El resultado puede indicar un aprovisionamiento incompleto, una discrepancia de enrutamiento o un límite de la política. Si el aprovisionamiento está completo y el problema continúa, sigue Trusted Access for Cyber: problemas comunes y resolución de problemas para ver los pasos de diagnóstico y los detalles que debes incluir al contactar con Soporte. Para abrir una solicitud de Soporte, consulta: ¿Cómo puedo contactar con el soporte? Un rechazo puede tener este aspecto:
No puedo crear ni empaquetar una prueba de concepto de exploit para una RCE previa a la autenticación, pero sí puedo crear un verificador defensivo y documentar el impacto, la detección y la corrección.Escalar problemas de configuración
Antes de cambiar áreas de trabajo, organizaciones de API, repositorios o credenciales, pide a tu equipo de cuenta de OpenAI que confirme que el aprovisionamiento está completo y que la organización, el área de trabajo y la ruta de acceso previstos son correctos.
Para problemas de verificación, acceso, modelo o seguridad cibernética, sigue Trusted Access for Cyber: problemas comunes y resolución de problemas. Incluye pasos de diagnóstico y la información que debes proporcionar al contactar con Soporte, como el ID de tu organización, la superficie del producto, el modelo, el mensaje de error completo, el ID de solicitud, la marca de tiempo y la zona horaria, una captura de pantalla si procede y una breve descripción censurada de la tarea.
Para abrir una solicitud de Soporte, consulta: ¿Cómo puedo contactar con el soporte?
Iniciar el primer flujo de trabajo
Para la mayoría de los equipos, el primer flujo de trabajo debe iniciarse en el plugin Codex Security con un alcance reducido a un repositorio, una rama o una alerta. Codex CLI es la ruta de automatización a escala cuando los propietarios del flujo de trabajo ya cuentan con un flujo de trabajo de CI/CD de confianza que debes validar.
Corregir una discrepancia de área de trabajo u organización de API
Usa esta ruta cuando la configuración aprobada apunte a la organización incorrecta, la organización enviada no sea solo interna, el acceso deba trasladarse entre rutas de API y de área de trabajo, o haya una reversión o eliminación pendiente.
Pausa las pruebas en el área de trabajo o la organización de API discrepante.
Identifica la configuración actual que se envió o aprovisionó.
Identifica el área de trabajo solo interna prevista, la organización de API prevista, o ambas.
Confirma si la configuración antigua debe eliminarse, revertirse o dejarse sin cambios.
Envía los detalles siguientes a tu equipo de cuenta de OpenAI como solicitud de corrección.
Espera a que OpenAI confirme que la corrección se ha completado.
Vuelve a ejecutar la comprobación de prueba de acceso en la configuración corregida.
Incluye:
nombre de la empresa y contacto principal de administración técnica o del área de trabajo
nombre e ID actuales del área de trabajo o la organización de API, si se conocen
nombre e ID del área de trabajo solo interna o la organización de API previstas, si se conocen
confirmación de que la configuración prevista no se usa para aplicaciones orientadas al cliente, tráfico de terceros ni flujos de trabajo de productos posteriores
si el acceso debe eliminarse o revertirse desde la configuración anterior
si la nueva configuración plantea alguna cuestión de facturación, límite presupuestario o propietario comercial
el primer flujo de trabajo que el equipo prevé ejecutar y los ejecutores del flujo de trabajo esperados
restricciones de calendario o próxima sesión de habilitación, si las hay
Si una organización antigua sigue pendiente de eliminación o hay un intercambio pendiente, considera que la configuración corregida no está lista hasta que OpenAI confirme que el cambio se ha completado.
Nota sobre el uso
Cualquier área de trabajo u organización de API habilitada para Trusted Access debe ser solo interna. Solo interna significa que tu propio equipo autorizado usa el acceso para el trabajo defensivo de tu organización y que no está vinculado a tráfico orientado a clientes, servicios de seguridad ofrecidos externamente ni ninguna función de producto derivada que pase solicitudes o contenido de terceros por este acceso.
Sin retención de datos (ZDR)
El aprovisionamiento de Trusted Access no activa automáticamente la opción sin retención de datos (ZDR). La opción ZDR debe solicitarse y aprovisionarse por separado para la organización exacta. Si tu organización requiere ZDR u otro tratamiento específico de retención de datos, confirma que la organización que prevés usar esté cubierta por esos términos antes de que tu equipo inicie el primer flujo de trabajo.
Límites operativos
Usa la configuración aprovisionada solo para trabajo defensivo autorizado.
Usa sistemas que pertenezcan a tu organización o cuya evaluación esté autorizada explícitamente.
Mantén el primer flujo de trabajo limitado y revisable.
Mantén a personas en el proceso para hallazgos y correcciones de alto impacto.
Usa el área de trabajo, la configuración de API y el acceso al modelo indicados en tus detalles de incorporación.
No extiendas las capacidades de Trusted Access a clientes de terceros, usuarios externos ni flujos de trabajo de productos derivados.
