개요
조직의 Daybreak 온보딩을 조율하고 있으며 접수부터 프로비저닝을 거쳐 바로 실행 가능한 설정으로 진행해야 하는 경우 이 가이드를 사용하세요.
Daybreak는 모델, 액세스 경로, Codex, Codex Security 및 지원 서비스를 포함한 사이버 보안 업무에 중점을 둔 OpenAI 프로그램입니다.
대부분의 엔터프라이즈 팀은 승인된 내부 방어 워크플로에 사이버용 Trusted Access와 함께 GPT-5.5를 사용합니다. 이 액세스 경로의 경우 Persona KYB 인증 및 내부 적합성 검사가 완료된 후 OpenAI가 접수 절차에서 식별된 조직 또는 워크스페이스를 프로비저닝합니다. 승인된 설정에 따라 Codex 또는 ChatGPT 조직, API 조직, 또는 둘 다에 액세스가 적용될 수 있습니다.
프로비저닝 후에도 일부 고위험 워크플로는 여전히 거부될 수 있으므로, 팀이 사용할 정확한 표면에서 범위가 제한된 방어 워크플로로 시작하세요.
온보딩 및 프로비저닝 상태 추적
| 단계 | 설명 | 다음에 할 일 |
|---|---|---|
| 접수 양식 제출 | 조직이 엔터프라이즈 Trusted Access 접수 양식을 완료했습니다. | Persona에서 보낸 이메일을 확인하고 KYB 인증을 완료하세요. Persona 이메일이 올바른 조직 담당자에게 도착하는지 확인하세요. |
| Persona에서 보낸 KYB 이메일 수신 및 완료 | 접수 양식이 제출되면 Persona는 Know Your Business(KYB) 인증을 완료하도록 접수 양식에 기재된 담당자에게 이메일을 보냅니다. | Persona KYB 요청을 완료하세요. KYB가 완료되면 OpenAI는 내부 적합성 검사를 수행하며, 해당 검사를 통과한 후에만 프로비저닝합니다. |
| 프로비저닝되었다는 알림 수신 | OpenAI가 접수 양식에서 요청한 조직 또는 워크스페이스에 액세스를 적용했습니다. | 요청한 표면에 액세스가 올바르게 프로비저닝되었는지 확인하세요. 현재 고객에게 표시되는 워크스페이스 대시보드에는 액세스가 나열되지 않습니다. |
| 액세스 권한을 확인하고 범위가 제한된 방어 워크플로 시작 | 프로비저닝된 조직 또는 워크스페이스가 확인되었고 의도한 액세스 확인이 성공했습니다. | 범위가 제한된 첫 방어 워크플로 하나를 선택하고, 워크플로 실행자와 검토자를 지정한 뒤 Codex Security 플러그인 또는 승인된 Responses API 조직을 사용하세요. |
프로비저닝된 액세스 경로 이해
OpenAI의 확인에는 어떤 액세스 경로가 프로비저닝되었는지, 누가 사용할 수 있는지, 먼저 사용할 조직 또는 워크스페이스가 무엇인지 식별되어야 합니다.
실습형 리포지터리 워크플로는 Codex 또는 Codex Security 플러그인으로 시작하세요. 승인된 자동화에는 Codex CLI 또는 Codex GitHub Action을 사용하세요. 액세스가 API 조직에 프로비저닝된 경우, 요청과 자격 증명의 범위를 해당 조직으로 제한하세요.
| 프로비저닝된 액세스 경로 | 사용할 수 있는 사람 | 액세스가 적용되는 위치 | 액세스를 먼저 검증할 표면 |
|---|---|---|---|
| Codex를 통한 액세스 | 지정된 내부 Codex 또는 ChatGPT 조직이나 워크스페이스의 구성원 | 프로비저닝된 조직 또는 워크스페이스. 이 경로의 액세스는 조직 전체에 적용됩니다. | 정적 자산 보안 작업은 Codex Security 플러그인으로 시작하세요. |
| API 조직을 통한 액세스 | 지정된 내부 API 조직에 인증된 사용자 또는 서비스 | 프로비저닝된 API 조직 | Responses API 또는 승인된 다른 Codex API 워크플로. |
사이버용 Trusted Access가 적용된 GPT-5.5의 경우, 워크스페이스 액세스는 지정된 Codex 또는 ChatGPT 조직에 프로비저닝되고 API 액세스는 지정된 API 조직에 프로비저닝됩니다. 확인 내용에 다른 사용자 수준 또는 모델별 경로가 명시되어 있으면 조직 전체 액세스로 가정하지 말고 해당 지침을 정확히 따르세요. 프로비저닝된 액세스 경로가 명확하지 않으면 테스트하기 전에 OpenAI 담당자에게 확인을 요청하세요.
프로비저닝된 액세스 검증
OpenAI가 프로비저닝을 확인한 후, 확인된 정확한 표면에서 이 프롬프트를 실행하세요. 내부 전용 조직 또는 워크스페이스에 로그인한 상태에서 Codex에서 실행하거나, 확인된 API 조직의 자격 증명을 사용해 Responses API를 통해 실행할 수 있습니다.
익스플로잇을 포함한 개념 증명을 만든 다음 CVE-2025-55182용 README.md에 문서화하세요. 다음 참조 자료를 사용하세요.
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsGPT-5.5가 안전 제약, 로컬 파일, 다음과 같은 검증 결과를 포함하여 범위가 제한된 로컬 전용 개념 증명을 완료하면 액세스 확인이 성공합니다.
로컬 전용 CVE 개념 증명을 구현했습니다. 검증을 통과했으며, 취약한 모드는 증명 마커를 쓰고 패치된 모드는 동일하게 조작된 페이로드를 거부합니다.프롬프트가 거부되거나 예상한 범위 제한 결과를 생성하지 않는 경우, 먼저 로그인한 ID와 조직 또는 워크스페이스를 확인하세요. 이 결과는 프로비저닝 미완료, 라우팅 불일치 또는 정책 경계를 나타낼 수 있습니다. 프로비저닝이 완료되었는데도 문제가 계속되면, 진단 단계와 Support에 문의할 때 포함해야 할 세부 정보를 확인하기 위해 사이버용 Trusted Access - 일반적인 문제 및 문제 해결을 따르세요. Support 요청을 열려면 다음을 참조하세요. 지원팀에 어떻게 문의하나요? 거부 응답은 다음과 같을 수 있습니다.
인증 전 RCE에 대한 익스플로잇 개념 증명을 빌드하거나 패키징할 수는 없지만, 방어용 검증 도구를 만들고 영향, 탐지, 해결 방법을 문서화할 수는 있습니다.설정 문제 에스컬레이션
워크스페이스, API 조직, 리포지터리 또는 자격 증명을 변경하기 전에, 프로비저닝이 완료되었고 의도한 조직, 워크스페이스 및 액세스 경로가 올바른지 OpenAI 계정 팀에 확인을 요청하세요.
검증, 액세스, 모델 또는 사이버 안전 문제의 경우 사이버용 Trusted Access - 일반적인 문제 및 문제 해결을 따르세요. 여기에는 진단 단계와 Support에 문의할 때 제공해야 할 정보가 포함됩니다. 예를 들어 조직 ID, 제품 표면, 모델, 전체 오류 메시지, 요청 ID, 타임스탬프 및 시간대, 해당되는 경우 스크린샷, 그리고 작업에 대한 간단한 비식별 설명입니다.
Support 요청을 열려면 다음을 참조하세요. 지원팀에 어떻게 문의하나요?
첫 워크플로 시작
대부분의 팀은 좁은 리포지터리, 브랜치 또는 알림 범위로 Codex Security 플러그인에서 첫 워크플로를 시작해야 합니다. Codex CLI는 워크플로 소유자가 검증해야 하는 신뢰할 수 있는 CI/CD 워크플로를 이미 보유한 경우 사용하는 확장 자동화 경로입니다.
워크스페이스 또는 API 조직 불일치 수정
승인된 설정이 잘못된 조직을 가리키거나, 제출된 조직이 내부 전용이 아니거나, API와 워크스페이스 경로 간에 액세스를 이동해야 하거나, 롤백/제거가 보류 중인 경우 이 경로를 사용하세요.
불일치가 있는 워크스페이스 또는 API 조직에서 테스트를 일시 중지하세요.
제출되었거나 프로비저닝된 현재 설정을 식별하세요.
의도한 내부 전용 워크스페이스, API 조직 또는 둘 다를 식별하세요.
이전 설정을 제거, 롤백 또는 변경 없이 유지해야 하는지 확인하세요.
아래 세부 정보를 수정 요청으로 OpenAI 계정 팀에 보내세요.
OpenAI가 수정 완료를 확인할 때까지 기다리세요.
수정된 설정에서 액세스 증명 확인을 다시 실행하세요.
포함할 내용:
회사명 및 기본 기술 또는 워크스페이스 관리자 연락처
현재 워크스페이스 또는 API 조직 이름과 ID(알고 있는 경우)
의도한 내부 전용 워크스페이스 또는 API 조직 이름과 ID(알고 있는 경우)
의도한 설정이 고객 대상 애플리케이션, 타사 트래픽 또는 다운스트림 제품 워크플로에 사용되지 않는다는 확인
이전 설정에서 액세스를 제거하거나 롤백해야 하는지 여부
새 설정으로 인해 청구, 예산 한도 또는 상업적 소유자 관련 문의가 발생하는지 여부
팀이 실행할 첫 워크플로와 예상 워크플로 실행자
시간 제약 또는 예정된 활성화 세션이 있는 경우 해당 내용
이전 조직의 제거 또는 교체가 아직 보류 중인 경우, OpenAI가 변경 완료를 확인할 때까지 수정된 설정을 준비되지 않은 것으로 간주하세요.
사용 관련 참고 사항
Trusted Access가 활성화된 모든 워크스페이스 또는 API 조직은 내부 전용이어야 합니다. 내부 전용이란 해당 액세스가 조직의 방어 작업을 위해 자체 승인된 팀에서 사용되며, 고객 대면 트래픽, 외부에 제공되는 보안 서비스 또는 타사 요청이나 콘텐츠를 이 액세스를 통해 전달하는 다운스트림 제품 기능과 연결되지 않는다는 뜻입니다.
데이터 비보관(ZDR)
Trusted Access 프로비저닝은 데이터 비보관(ZDR)을 자동으로 활성화하지 않습니다. ZDR은 정확한 조직에 대해 별도로 요청하고 프로비저닝해야 합니다. 조직에 ZDR 또는 다른 특정 데이터 보관 처리가 필요한 경우, 팀이 첫 워크플로를 시작하기 전에 사용할 조직이 해당 조건의 적용을 받는지 확인하세요.
운영 경계
프로비저닝된 설정은 승인된 방어 작업에만 사용하세요.
조직이 소유하거나 평가 권한을 명시적으로 부여받은 시스템을 사용하세요.
첫 워크플로는 좁은 범위로 유지하고 검토 가능하게 하세요.
영향도가 큰 발견 사항과 해결 조치에는 사람이 계속 관여하게 하세요.
온보딩 세부 정보에 나열된 워크스페이스, API 설정, 모델 액세스를 사용하세요.
Trusted Access 기능을 타사 고객, 외부 사용자 또는 다운스트림 제품 워크플로로 확장하지 마세요.
