Apžvalga
Naudokite šį vadovą, jei koordinuojate „Daybreak“ diegimą savo organizacijoje ir turite pereiti nuo patvirtinimo prie parengtos naudoti sąrankos.
„Daybreak“ yra OpenAI programa, skirta kibernetinio saugumo darbui, įskaitant modelius, prieigos kelius, Codex, Codex Security ir pagalbines paslaugas.
Dauguma įmonių komandų patvirtintoms vidinėms gynybinėms darbo eigoms naudoja GPT-5.5 su Trusted Access for Cyber. Atsižvelgiant į jūsų sąranką, prieiga gali būti suteikta prie darbo erdvės, API organizacijos, įvardytos Codex tapatybės arba daugiau nei vieno kelio. OpenAI pateiktoje diegimo informacijoje turėtų būti nurodyta tiksli darbo erdvė, API organizacija, patvirtinta Codex tapatybė ir naudotina modelio prieiga. Kai kurios didesnės rizikos darbo eigos gali būti atmestos net po patvirtinimo, todėl pradėkite nuo apribotos gynybinės darbo eigos būtent tame paviršiuje, kurį jūsų komanda planuoja naudoti.
1. Stebėkite diegimo būseną
Patvirtinimas yra pirmasis diegimo žingsnis. Laikykite sąranką parengta tik tada, kai patvirtintas prieigos kelias suteiktas teisingai vidinei darbo erdvei arba API organizacijai ir jūsų komanda turi įrodymų, kad numatytas paviršius veikia.
| Būsena | Ką tai reiškia | Ką daryti toliau |
|---|---|---|
| Pateikta | Jūsų organizacija pateikė užklausą arba jūsų OpenAI paskyros komanda pateikė ją jūsų vardu. | Laikykite parengtą siūlomą darbo erdvę ar API organizaciją, vidinio naudojimo apimtį, techninį administratorių ir pirmąją darbo eigą, jei OpenAI prireiktų daugiau informacijos. |
| Patvirtinta | OpenAI patvirtino, kad organizacija patvirtinta Trusted Access for Cyber. | Patvirtinkite, kurį prieigos kelią OpenAI patvirtino ir kuriai darbo erdvei, API organizacijai, patvirtintai Codex tapatybei ar modelio konfigūracijai jis taikomas. |
| Suteikta | OpenAI patvirtino, kad prieiga pritaikyta įvardytai darbo erdvei, API organizacijai, patvirtintai Codex tapatybei arba modelio konfigūracijai. | Prieš pirmąją darbo eigą įrodykite, kad prieiga veikia būtent tame paviršiuje. |
| Parengta paleisti | Prieigos kelias patvirtintas, sąrankos pataisymai baigti, o jūsų komanda turi stebimų UI arba API įrodymų. | Pasirinkite vieną apribotą pirmąją gynybinę darbo eigą, nurodykite darbo eigos vykdytoją ir peržiūrėtoją, o esamai bandymų aplinkai naudokite Codex Security papildinį arba Responses API per patvirtintą darbo erdvę. |
2. Supraskite patvirtintą prieigos kelią
OpenAI pateiktoje diegimo informacijoje turėtų būti nurodyta, kuris prieigos kelias patvirtintas, kas gali juo naudotis ir kurį darbo eigos paviršių naudoti pirmiausia. Praktinėms darbo eigoms geriausias pradinis taškas yra Codex arba Codex Security papildinys. Mastelio automatizavimui naudokite Codex CLI arba Codex GitHub Action. Jei diegimo informacijoje nurodyta patvirtinta API organizacija, laikykite ją tos patvirtintos automatizavimo kelio konfigūracija.
| Patvirtintas prieigos kelias | Kas gali juo naudotis | Kur taikoma prieiga | Pirmasis tikrintinas paviršius |
|---|---|---|---|
| Darbo erdvės prieiga prie Codex | Įvardytos vidinės Codex arba ChatGPT įmonės darbo erdvės nariai. | Suteikta darbo erdvė. ChatGPT darbo erdvė gali būti Codex administravimo, narystės arba prisijungimo kontekstas. | Statinių išteklių saugumo darbui pradėkite nuo Codex Security papildinio. |
| API organizacijos prieiga Codex CLI | Naudotojai arba paslaugos, naudojančios kredencialus įvardytoje vidinėje API organizacijoje. | Suteikta API organizacija arba projektas. | Codex CLI su žetono autentifikavimu. |
Dauguma įmonių patvirtinimų naudoja darbo erdvės prieigą, API organizacijos prieigą arba abi. Kai kurie patvirtinimai yra siauresni: įvardyta Codex tapatybė nesuteikia tokios pačios prieigos kiekvienam darbo erdvės asmeniui, o API prieiga taikoma tik įvardytai API organizacijai. Jei diegimo informacijoje prieigos kelias nenurodytas, prieš vidinei komandai pradedant testavimą paprašykite savo OpenAI kontakto jį patvirtinti.
3. Patvirtinkite prieigą po patvirtinimo
Geriausia patikrinti prieigos įrodymą konkrečiame produkto paviršiuje, kurį naudos jūsų komanda, o ne remtis bendru patvirtinimu, kad jūsų organizacija patvirtinta. Greičiausias būdas patikrinti prieigą – įdiegti ir išbandyti Codex Security papildinį; jei planuojate naudoti Codex CLI mastelio automatizavimui, patikrinkite būtent tą automatizavimo konfigūraciją ir API organizaciją.
| Patvirtintas prieigos kelias | Patikra | Prieiga veikia, kai | Įrodymai, kuriuos reikia užfiksuoti |
|---|---|---|---|
| Darbo erdvės prieiga prie Codex | Įdiekite Codex Security papildinį ir vykdykite siūlomas užklausas vietiniame Codex egzemplioriuje. | „Codex Security“ papildinys gali nuskaityti, peržiūrėti ir taisyti radinius jūsų tikslinėje saugykloje. | @codexsecurity įvesties lauke iškviečia konkrečius įgūdžius, pvz., threat-model. |
| API organizacijos prieiga Responses API naudojimui | Paleiskite vieną apribotą vidinę gynybinio automatizavimo darbo eigą. Prieigą per Responses API galite patikrinti naudodami šią pavyzdinę cURL komandą:curl --fail-with-body -i -sS https://api.openai.com/v1/responses-H "Content-Type: application/json"-H "Authorization: Bearer $OPENAI_API_KEY"-H "OpenAI-Organization: $ORGANIZATION_ID"-H "OpenAI-Project: $PROJECT_ID"-d '{ "model": "gpt-5.5", "input": "Hello, Cyber World."}' | Užklausa autentifikuojama numatytoje API organizacijoje, naudoja diegimo metu gautą modelio konfigūraciją ir grąžina peržiūrimą išvestį, o ne prieigos ar maršruto parinkimo klaidą. | API organizacija arba projektas, API kredencialų savininkas, išsiųstas modelio pavadinimas, laiko žyma, užklausos ID, jei yra, ir HTTP 200 arba sėkminga SDK atsakymo išvestis. |
Pasirenkama prieigos patikrinimo užklausa
Kai prieiga suteikta, galite ją patikrinti išbandydami šią užklausą patvirtintoje tik vidinėje darbo erdvėje arba API organizacijoje:
Sukurkite koncepcijos įrodymą su išnaudojimo kodu, tada dokumentuokite README.md šiam CVE:
- cve.org/CVERecord?id=CVE-2025-55182
- react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsPrieiga greičiausiai suteikta, kai GPT-5.5 gali įvykdyti tik vietinį koncepcijos įrodymą su saugos apribojimais, vietiniais failais ir patikrinimo rezultatu, pvz.:
Įgyvendintas tik vietinis CVE koncepcijos įrodymas; patikrinimas sėkmingas; pažeidžiamas režimas įrašo įrodymo žymeklį, o pataisytas režimas atmeta tą patį specialiai suformuotą naudingąjį krūvį.Jei prieiga nesuteikta, modelis gali atsisakyti įgyvendinti išnaudojimo kodą ir nukreipti į gynybinę medžiagą, pvz.:
Negaliu sukurti ar supakuoti iki autentifikavimo RCE išnaudojimo koncepcijos įrodymo, bet galiu sukurti gynybinį tikrintuvą ir dokumentuoti poveikį, aptikimą bei taisymą.4. Eskaluokite sąrankos problemas
Jei susiduriate su sąrankos problemomis, prieš keisdami darbo erdves ar API organizacijas, iš naujo prijungdami saugyklas ar perkonfigūruodami prieigą, pasidalykite glaustu palaikymo paketu su savo OpenAI atstovu. Įtraukite problemos tipą, naudotą paviršių, darbo erdvę ar API organizaciją, prisijungimo el. paštą arba API kredencialų savininką, saugyklos ar artefakto pavadinimą, nuskaitymo ID arba bandymų aplinkos paleidimo ID, jei taikoma, modelio pavadinimą, laiko žymą, užklausos ID, jei yra, ir tikslią klaidą, atsisakymą arba trūkstamą UI būseną.
| Problemos tipas | Ką užfiksuoti | Kur tai gauti |
|---|---|---|
| Darbo erdvės prieiga | Darbo erdvės pavadinimas arba ID, paveiktų komandos narių el. pašto adresai, numatomas vaidmuo ir prieigos klaida arba trūkstama UI būsena. | Darbo erdvės parinkiklis, paskyros meniu, nario arba administratoriaus rodinys ir puslapis ar modalinis langas, kuriame rodoma prieigos klaida. |
| Darbo erdvės / API organizacijos neatitikimas | Dabartinė sąranka, numatyta tik vidinė sąranka, ar turi būti įjungta Codex Security, Codex CLI automatizavimas, ar abu, ir ar reikia grąžinimo / pašalinimo. | Diegimo informacija, darbo erdvės parinkiklis, Platform organizacijos nustatymai, paskyros komandos patvirtinimas ir taisymo paketas. |
| Pradinio nuskaitymo būsena | Saugyklos pavadinimas, nuskaitymo pradžios laikas, dabartinė nuskaitymo būsena ir ar saugykloje vis dar vyksta pradinis papildymas. | Codex Security nuskaitymo puslapis, nuskaitymų sąrašas, saugyklos nuskaitymų istorija arba būsenos juosta. |
| API prieiga | API organizacija, projektas, jei taikoma, API kredencialų savininkas, numatoma sąranka, numatoma modelio prieiga ir autentifikavimo arba maršruto parinkimo klaida. | Bandymų aplinkos žurnalai, CI užduoties žurnalai, API kliento žurnalai, SDK išimtis, API klaidos atsakymas, atsakymo metaduomenys arba atsakymo antraštės. |
| Atsiskaitymas arba limitai | Nauja arba esama organizacija, komercinis savininkas, atsiskaitymo savininkas, biudžeto limitai ir koks konsolidavimo ar išlaidų kontrolės klausimas lieka. | Paskyros komandos patvirtinimas, Platform atsiskaitymo arba limitų puslapis, pirkimų arba komercinio savininko įrašai. |
| Modelio prieigos neatitikimas | Naudota darbo erdvė arba API organizacija, diegimo metu numatyta modelio prieiga ir tai, ką jūsų vidinė komanda iš tikrųjų mato. | Codex seanso modelis arba prieigos etiketė, jei matoma, API užklausos modelio laukas, API klaidos atsakymas, prieigos patikrinimo atsakymas arba atsisakymo tekstas, bandymų aplinkos žurnalai arba trūkstamos parinkties ar prieigos klaidos ekrano kopija. |
5. Pradėkite pirmąją darbo eigą
Daugumai komandų pirmoji darbo eiga turėtų prasidėti Codex Security papildinyje, naudojant siaurą saugyklos, šakos arba įspėjimų apimtį. Codex CLI yra mastelio automatizavimo kelias, kai darbo eigos savininkai jau turi patikimą CI/CD darbo eigą, kurią reikia patikrinti.
Ištaisykite darbo erdvės arba API organizacijos neatitikimą
Naudokite šį kelią, kai patvirtinta sąranka nurodo netinkamą organizaciją, pateikta organizacija nėra skirta tik vidiniam naudojimui, prieigą reikia perkelti tarp API ir darbo erdvės kelių arba laukiama grąžinimo / pašalinimo.
Pristabdykite testavimą neatitinkančioje darbo erdvėje arba API organizacijoje.
Nustatykite dabartinę sąranką, kuri buvo pateikta arba kuriai suteikta prieiga.
Nustatykite numatytą tik vidinę darbo erdvę, API organizaciją arba abi.
Patvirtinkite, ar senoji sąranka turi būti pašalinta, grąžinta ar palikta nepakeista.
Nusiųskite OpenAI glaustą taisymo paketą.
Palaukite, kol OpenAI patvirtins, kad taisymas baigtas.
Iš naujo paleiskite prieigos įrodymo patikrą pataisytoje sąrankoje.
Taisymo pakete turėtų būti:
įmonės pavadinimas ir pagrindinio techninio arba darbo erdvės administratoriaus kontaktai
dabartinės darbo erdvės arba API organizacijos pavadinimas ir ID, jei žinomi
numatytos tik vidinės darbo erdvės arba API organizacijos pavadinimas ir ID, jei žinomi
patvirtinimas, kad numatyta sąranka nenaudojama klientams skirtoms programoms, trečiųjų šalių srautui ar paskesnėms produkto darbo eigoms
ar prieiga turėtų būti pašalinta arba grąžinta iš ankstesnės sąrankos
ar naujoji sąranka sukuria atsiskaitymo, biudžeto limito arba komercinio savininko klausimą
pirmoji darbo eiga, kurią komanda planuoja paleisti, ir numatomi darbo eigos vykdytojai
laiko apribojimai arba artėjanti įgalinimo sesija, jei yra
Jei vis dar laukiama senos organizacijos pašalinimo arba sukeitimo, laikykite pataisytą sąranką neparengta, kol OpenAI patvirtins, kad pakeitimas baigtas.
Pastaba dėl naudojimo
Bet kuri darbo erdvė ar API organizacija, kuriai įjungta Trusted Access, turėtų būti skirta tik vidiniam naudojimui. Tik vidiniam naudojimui reiškia, kad prieigą naudoja jūsų įgaliota komanda jūsų organizacijos gynybiniam darbui ir ji nėra susieta su klientams skirtais srautais, išorėje teikiamomis saugumo paslaugomis ar jokia paskesne produkto funkcija, kuri per šią prieigą perduoda trečiųjų šalių užklausas ar turinį.
Nulinis duomenų saugojimas (ZDR)
Nulinis duomenų saugojimas (ZDR) gali būti palaikomas tik jei jūsų organizacija jau turi reikiamą ZDR patvirtinimo kelią arba užbaigia atskirą ZDR patvirtinimo procesą. Jei jūsų organizacijai reikia ZDR arba kito konkretaus duomenų saugojimo tvarkymo, prieš komandai pradedant pirmąją darbo eigą patvirtinkite, kad tiksli darbo erdvė ar API organizacija, kurią planuojate naudoti, yra įtraukta į šias sąlygas.
Veikimo ribos
Suteiktą sąranką naudokite tik įgaliotam gynybiniam darbui.
Naudokite sistemas, kurios priklauso jūsų organizacijai arba kurias vertinti jai aiškiai leista.
Pirmąją darbo eigą laikykite siaurą ir peržiūrimą.
Didelio poveikio radiniams ir taisymams užtikrinkite žmogaus dalyvavimą.
Naudokite darbo erdvę, API sąranką ir modelio prieigą, nurodytą jūsų diegimo informacijoje.
Neišplėskite Trusted Access galimybių trečiųjų šalių klientams, išoriniams naudotojams ar paskesnėms produktų darbo eigoms.
