Visão geral
O Trusted Access for Cyber é o modelo de governança do OpenAI Daybreak. Ele ajuda clientes empresariais qualificados e profissionais de cibersegurança a usar os modelos da OpenAI com mais eficácia em trabalhos autorizados de cibersegurança, e foi projetado para apoiar fluxos de trabalho de segurança legítimos, reduzindo atritos desnecessários por meio de salvaguardas mais precisas. As políticas de uso, outras salvaguardas e controles de acesso da OpenAI continuam aplicáveis.
O Trusted Access destina-se a trabalhos autorizados de cibersegurança defensiva em sistemas, aplicações, contas, redes ou dados que você possui, opera ou tem autorização explícita para testar ou analisar.
Os fluxos de trabalho dos clientes geralmente se enquadram em três categorias:
SDLC seguro / AppSec: varredura contínua de código, varredura de ambientes de teste, validação de achados de segurança, automação de patches de segurança, revisão de código seguro e aplicação de patches.
Operações defensivas: blue teaming, modelagem de ameaças, inteligência de ameaças, threat hunting, análise de malware, engenharia de detecção, triagem de vulnerabilidades e validação de patches.
Testes ofensivos autorizados: testes de penetração, red teaming, validação ou desenvolvimento de exploits, análise de malware, engenharia reversa e validação controlada em ambientes autorizados.
A tabela abaixo descreve os níveis atuais de acesso confiável:
| Acesso | O que muda | Casos de uso pretendidos |
|---|---|---|
| GPT-5.5 (padrão) | Salvaguardas padrão para uso de finalidade geral | Fluxos de trabalho de SDLC seguro e segurança de aplicações, incluindo modelagem de ameaças, revisões de código seguro e aplicação de patches, além de blue teaming generalizado |
| GPT-5.5 com Trusted Access for Cyber | Salvaguardas mais precisas para trabalho defensivo verificado em ambientes autorizados | Triagem e validação de vulnerabilidades, análise de malware, engenharia de detecção e validação de patches |
| GPT-5.5-Cyber | Criado especificamente para fluxos de trabalho autorizados especializados, combinado com verificação mais forte e controles no nível da conta | Testes ofensivos autorizados, incluindo red teaming, desenvolvimento de exploits, testes de penetração e threat hunting |
O GPT-5.5 é um modelo excepcional para tarefas comuns de cibersegurança, incluindo revisões de código seguro, aplicação de patches, modelagem de ameaças e blue teaming generalizado. Para a maioria dos defensores, o GPT-5.5 com Trusted Access for Cyber é o nível certo de capacidade quando fluxos de trabalho aprovados precisam de salvaguardas mais precisas para trabalho defensivo autorizado. Esse nível de acesso pode lidar com a grande maioria dos fluxos de trabalho defensivos legítimos, preservando ao mesmo tempo os amplos pontos fortes e a postura de segurança do modelo.
Acesso mais especializado torna-se relevante apenas quando fluxos de trabalho autorizados exigem capacidades cibernéticas ofensivas. Isso ocorre em fluxos de trabalho de maior risco, como red teaming, desenvolvimento de exploits, análise de malware e engenharia reversa, nos quais defensores podem precisar ir além da análise e validar a explorabilidade em um ambiente controlado. O GPT-5.5-Cyber foi projetado para facilitar esses fluxos de trabalho de duplo uso mais especializados.
Saiba mais em Como escalar o Trusted Access for Cyber com GPT-5.5 e GPT-5.5-Cyber
Limitações
O Trusted Access for Cyber não:
Remove todas as salvaguardas ou todas as recusas.
Garante acesso a todos os modelos especializados em cibersegurança.
Concede zero retenção de dados por padrão.
Permite revenda, intermediação por proxy, incorporação ou acesso downstream para clientes de terceiros ou usuários externos.
Autoriza atividades fora de sistemas que você possui ou tem permissão explícita para testar.
O acesso destina-se somente a usuários internos aprovados e fluxos de trabalho internos aprovados. A organização ou workspace usado para o Trusted Access deve ser reservado para trabalho de segurança interno e não deve também alimentar aplicações voltadas para clientes, tráfego de produto downstream ou acesso de terceiros.
Como solicitar o Trusted Access for Cyber
Para solicitar o Trusted Access for Cyber:
Como parte da análise, pode ser solicitado que você forneça informações sobre:
Sua organização e seus recursos de cibersegurança.
Os fluxos de trabalho de cibersegurança defensiva que você deseja apoiar.
A organização da OpenAI ou o workspace que você espera usar.
Informações de verificação ou confiança necessárias para avaliar a elegibilidade.
A OpenAI analisa as solicitações antes de habilitar o acesso. A aprovação não é automática.
Os benefícios disponíveis por meio do Trusted Access for Cyber dependem do acesso aprovado para sua solicitação, que a OpenAI avalia com base em fatores como verificação de identidade e confiança, considerações de risco, o caso de uso pretendido e a capacidade do solicitante de fortalecer o ecossistema mais amplo de cibersegurança.
Usar o Trusted Access com responsabilidade
Você é responsável por garantir que seu uso permaneça dentro do escopo aprovado e esteja em conformidade com os termos e as políticas de uso da OpenAI.
Se você for aprovado, use o Trusted Access somente para trabalhos legais e autorizados de cibersegurança, e deverá concordar com nossa Política de Abuso Cibernético: proibimos o uso de nossos serviços para facilitar abuso cibernético — o comprometimento da integridade, confidencialidade ou disponibilidade de um sistema de informações — incluindo atividades cibernéticas de “duplo uso” realizadas com intenção maliciosa, sem autorização adequada ou além da autorização concedida.
Você também deve garantir que a organização ou o workspace usado para o Trusted Access seja apropriado para trabalho de segurança interno. Se a mesma organização alimenta tráfego voltado para clientes ou fluxos de trabalho de produto downstream, fale com seu contato da OpenAI antes de se candidatar. O Trusted Access for Cyber não pode ser estendido a clientes de terceiros, usuários externos, fluxos de trabalho voltados para clientes ou tráfego de produto downstream.
Solução de problemas
Leia: Trusted Access for Cyber — Problemas comuns e solução de problemas
Perguntas frequentes
O que muda após a aprovação?
Clientes aprovados têm permissão para usar o GPT-5.5 em fluxos de trabalho de cibersegurança elegíveis, dependendo do nível de acesso. O Trusted Access for Cyber pode reduzir atritos desnecessários para trabalhos defensivos aprovados em fluxos de trabalho de SDLC seguro / AppSec, operações defensivas e testes ofensivos autorizados. Outras salvaguardas e controles de políticas de uso continuam aplicáveis.
A aprovação inclui o GPT-5.5-Cyber?
Não automaticamente. O Trusted Access for Cyber pode dar suporte a muitos fluxos de trabalho de cibersegurança defensiva com o GPT-5.5. O GPT-5.5-Cyber destina-se a um conjunto mais restrito de fluxos de trabalho autorizados especializados, como red teaming e validação ou desenvolvimento de exploits, e pode exigir aprovação e controles adicionais.
Posso usar o Trusted Access para meus clientes ou usuários externos?
Não. O Trusted Access destina-se somente ao uso interno aprovado. Ele não pode ser estendido a clientes de terceiros, usuários externos, fluxos de trabalho voltados para clientes ou tráfego de produto downstream.
O Trusted Access inclui zero retenção de dados?
Não. Trusted Access e zero retenção de dados são separados. Se precisar de orientação sobre retenção de dados ou configuração da organização, fale com seu contato da OpenAI.
Posso usar o Trusted Access em sistemas que não possuo?
Somente se você tiver autorização explícita para testá-los ou analisá-los. Você não tem permissão para compartilhar ou vender o acesso ao TAC a terceiros, nem usar o TAC para testar sistemas que não possui ou para os quais não tem autorização explícita para testar ou analisar.
O GPT-5.5 com Trusted Access for Cyber pode ser usado fora do Codex?
Sim. O Trusted Access não se limita ao Codex. Se o caminho de acesso aprovado oferecer suporte a isso, você poderá usar o GPT-5.5 com Trusted Access for Cyber em pipelines de CI/CD e outras ferramentas internas de segurança, desde que o uso permaneça dentro do seu escopo defensivo aprovado e autorizado.
Como devemos configurar o Trusted Access se nossa organização atual da OpenAI atende tráfego de API voltado para clientes?
Use uma organização ou workspace reservado para trabalho de segurança interno aprovado. O Trusted Access não deve ser habilitado em uma organização que alimenta aplicações voltadas para clientes, acesso de terceiros ou tráfego de produto downstream. Trabalhe com seu contato da OpenAI na configuração apropriada antes de se candidatar ou habilitar o acesso.
Um contrato ou compra pode garantir acesso ao GPT-5.5-Cyber?
Não. O acesso ao GPT-5.5-Cyber é limitado e baseado em aprovação. Um acordo comercial ou uma compra, por si só, não garante acesso. Se sua solicitação for aprovada, a OpenAI confirmará o caminho de acesso disponível e quaisquer termos aplicáveis.
O que devo verificar se ainda vir uma mensagem de segurança cibernética após a aprovação?
Confirme se você está usando a organização ou workspace aprovado, o modelo ou caminho de acesso aprovado e a superfície de produto pretendida. Algumas salvaguardas ainda podem se aplicar após a aprovação. Se uma solicitação claramente defensiva parecer estar bloqueada inesperadamente, entre em contato com o Suporte informando a mensagem exata, o modelo, a superfície de produto, o carimbo de data/hora, o ID da solicitação, se disponível, e uma breve descrição editada da tarefa. Leia mais: Trusted Access for Cyber — Problemas comuns e solução de problemas
Como uma organização pode limitar o Trusted Access aos funcionários certos?
O Trusted Access deve estar disponível apenas para usuários internos aprovados que trabalhem em tarefas de segurança autorizadas. Se precisar limitar o acesso, trabalhe com seu contato da OpenAI para configurar uma organização ou workspace somente interno e provisionar apenas os usuários apropriados.