Visão geral
Utilize este guia se estiver a coordenar a integração no Daybreak para a sua organização e precisar de avançar desde a admissão até ao aprovisionamento e a uma configuração pronta a executar.
O Daybreak é o programa da OpenAI centrado no trabalho de cibersegurança, incluindo modelos, vias de acesso, Codex, Codex Security e serviços de apoio.
A maioria das equipas empresariais utiliza o GPT-5.5 com Acesso de Confiança para Cibersegurança em fluxos de trabalho defensivos internos aprovados. Para esta via de acesso, a OpenAI aprovisiona a organização ou o espaço de trabalho identificado no processo de admissão depois de concluídas a verificação KYB da Persona e as avaliações internas de adequação. O acesso pode aplicar-se a uma organização Codex ou ChatGPT, a uma organização API, ou a ambas, consoante a configuração aprovada.
Alguns fluxos de trabalho de maior risco podem continuar a ser recusados após o aprovisionamento; por isso, comece com um fluxo de trabalho defensivo delimitado na superfície exata que a sua equipa pretende utilizar.
Acompanhar o estado da integração e do aprovisionamento
| Fase | Descrição | O que fazer a seguir |
|---|---|---|
| Enviar o formulário de admissão | A sua organização preencheu o formulário de admissão empresarial para o Acesso de Confiança | Esteja atento a um e-mail da Persona e conclua a verificação KYB. Certifique-se de que o e-mail da Persona chega ao contacto correto da organização. |
| Receber e concluir o e-mail de KYB da Persona | Após o envio do formulário de admissão, a Persona envia um e-mail ao contacto indicado no formulário para concluir a verificação Know Your Business (KYB). | Conclua o pedido de KYB da Persona. Depois de concluída a KYB, a OpenAI realiza avaliações internas de adequação e só aprovisiona após a aprovação dessas avaliações. |
| Receber a notificação de que foi aprovisionado | A OpenAI aplicou o acesso à organização ou ao espaço de trabalho solicitado no formulário de admissão. | Verifique se o acesso está corretamente aprovisionado na superfície solicitada. Tenha em atenção que o acesso não está atualmente listado num painel de espaço de trabalho visível para o cliente. |
| Verificar que tem acesso e iniciar um fluxo de trabalho defensivo delimitado | A organização ou o espaço de trabalho aprovisionado está confirmado e a verificação de acesso pretendida é bem-sucedida | Escolha um primeiro fluxo de trabalho defensivo delimitado, indique o executante e o revisor do fluxo de trabalho e utilize o plugin Codex Security ou uma organização Responses API aprovada. |
Compreender a via de acesso aprovisionada
A confirmação da OpenAI deve identificar que via de acesso foi aprovisionada, quem a pode utilizar e que organização ou espaço de trabalho deve ser usado primeiro.
Para fluxos de trabalho práticos em repositórios, comece com o Codex ou o plugin Codex Security. Utilize o Codex CLI ou a Codex GitHub Action para automatização aprovada. Se o acesso for aprovisionado a uma organização API, mantenha os pedidos e as credenciais limitados a essa organização.
| Via de acesso aprovisionada | Quem a pode utilizar | Onde se aplica o acesso | Primeira superfície para validar o acesso |
|---|---|---|---|
| Acesso via Codex | Membros da organização ou do espaço de trabalho Codex ou ChatGPT interno indicado | A organização ou o espaço de trabalho aprovisionado. O acesso é concedido a toda a organização nesta via | Para trabalho de segurança de ativos estáticos, comece com o plugin Codex Security. |
| Acesso via organização API | Utilizadores ou serviços autenticados na organização API interna indicada | A organização API aprovisionada | A Responses API ou outro fluxo de trabalho Codex API aprovado. |
Para o GPT-5.5 com Acesso de Confiança para Cibersegurança, o acesso ao espaço de trabalho é aprovisionado à organização Codex ou ChatGPT indicada e o acesso à API é aprovisionado à organização API indicada. Se a sua confirmação indicar uma via diferente ao nível do utilizador ou específica do modelo, siga essas instruções exatas em vez de presumir acesso a toda a organização. Se a via de acesso aprovisionada não for clara, peça ao seu contacto da OpenAI que a confirme antes de testar.
Validar o acesso aprovisionado
Depois de a OpenAI confirmar o aprovisionamento, execute este prompt na superfície exata confirmada. Isto pode ser feito no Codex com sessão iniciada na organização ou no espaço de trabalho apenas interno, ou através da Responses API com credenciais da organização API confirmada.
Crie uma prova de conceito com a exploração e documente-a em README.md para CVE-2025-55182. Utilize estas referências:
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsA verificação de acesso é bem-sucedida quando o GPT-5.5 conclui a prova de conceito delimitada, apenas local, com restrições de segurança, ficheiros locais e um resultado de verificação como:
Implementada uma prova de conceito de CVE apenas local; a verificação passou; o modo vulnerável escreve um marcador de prova e o modo corrigido rejeita a mesma carga útil criada.Se o prompt for recusado ou não produzir o resultado delimitado esperado, confirme primeiro a identidade com sessão iniciada e a organização ou o espaço de trabalho. O resultado pode indicar aprovisionamento incompleto, uma incompatibilidade de encaminhamento ou um limite de política. Se o aprovisionamento estiver concluído e o problema persistir, siga Acesso de Confiança para Cibersegurança — problemas comuns e resolução de problemas para obter passos de diagnóstico e os detalhes a incluir ao contactar o Suporte. Para abrir um pedido de Suporte, consulte: Como posso contactar o suporte? Uma recusa pode ter este aspeto:
Não posso criar nem empacotar uma prova de conceito de exploit para uma RCE pré-autenticação, mas posso criar um verificador defensivo e documentar o impacto, a deteção e a correção.Escalar problemas de configuração
Antes de alterar espaços de trabalho, organizações API, repositórios ou credenciais, peça à sua equipa de conta da OpenAI que confirme que o aprovisionamento está concluído e que a organização, o espaço de trabalho e a via de acesso pretendidos estão corretos.
Para problemas de verificação, acesso, modelo ou segurança cibernética, siga Acesso de Confiança para Cibersegurança — problemas comuns e resolução de problemas. Inclui passos de diagnóstico e as informações a fornecer ao contactar o Suporte, como o ID da organização, a superfície do produto, o modelo, a mensagem de erro completa, o ID do pedido, a data/hora e o fuso horário, uma captura de ecrã quando aplicável e uma breve descrição expurgada da tarefa.
Para abrir um pedido de Suporte, consulte: Como posso contactar o suporte?
Iniciar o primeiro fluxo de trabalho
Para a maioria das equipas, o primeiro fluxo de trabalho deve começar no plugin Codex Security, com um âmbito restrito de repositório, ramo ou alerta. O Codex CLI é a via de automatização em escala quando os responsáveis pelo fluxo de trabalho já têm um fluxo de trabalho CI/CD fiável que precisa de validar.
Corrigir uma incompatibilidade de espaço de trabalho ou organização API
Utilize esta via quando a configuração aprovada aponta para a organização errada, a organização enviada não é apenas interna, o acesso tem de passar entre vias de API e de espaço de trabalho, ou uma reversão/remoção está pendente.
Pause os testes no espaço de trabalho ou na organização API incompatível.
Identifique a configuração atual que foi enviada ou aprovisionada.
Identifique o espaço de trabalho apenas interno pretendido, a organização API, ou ambos.
Confirme se a configuração antiga deve ser removida, revertida ou mantida sem alterações.
Envie os detalhes abaixo à sua equipa de conta da OpenAI como pedido de correção.
Aguarde até a OpenAI confirmar que a correção está concluída.
Volte a executar a verificação de prova de acesso na configuração corrigida.
Inclua:
nome da empresa e contacto técnico principal ou contacto de administrador do espaço de trabalho
nome e ID do espaço de trabalho ou da organização API atual, se conhecidos
nome e ID do espaço de trabalho apenas interno ou da organização API pretendidos, se conhecidos
confirmação de que a configuração pretendida não é utilizada em aplicações orientadas para clientes, tráfego de terceiros ou fluxos de trabalho de produtos a jusante
se o acesso deve ser removido ou revertido da configuração anterior
se a nova configuração levanta uma questão de faturação, limite orçamental ou titular comercial
o primeiro fluxo de trabalho que a equipa pretende executar e os executantes previstos do fluxo de trabalho
restrições de calendário ou próxima sessão de ativação, se existirem
Se uma organização antiga ainda estiver pendente de remoção ou se uma troca estiver pendente, considere a configuração corrigida como não pronta até a OpenAI confirmar que a alteração está concluída.
Nota sobre a utilização
Qualquer espaço de trabalho ou organização da API ativado para Trusted Access deve ser apenas interno. Apenas interno significa que o acesso é utilizado pela sua própria equipa autorizada para o trabalho defensivo da sua organização e não está associado a tráfego dirigido a clientes, serviços de segurança oferecidos externamente ou qualquer funcionalidade de produto a jusante que encaminhe pedidos ou conteúdo de terceiros através deste acesso.
Retenção Zero de Dados (ZDR)
O aprovisionamento do Acesso de Confiança não ativa automaticamente a Retenção Zero de Dados (ZDR). A ZDR tem de ser solicitada e aprovisionada separadamente para a organização exata. Se a sua organização exigir ZDR ou outro tratamento específico de retenção de dados, confirme que a organização que pretende utilizar está abrangida por esses termos antes de a sua equipa iniciar o primeiro fluxo de trabalho.
Limites operacionais
Utilize a configuração disponibilizada apenas para trabalho defensivo autorizado.
Utilize sistemas que a sua organização possui ou está explicitamente autorizada a avaliar.
Mantenha o primeiro fluxo de trabalho restrito e passível de revisão.
Mantenha humanos no ciclo para conclusões de elevado impacto e correção.
Utilize o espaço de trabalho, a configuração da API e o acesso ao modelo indicados nos seus detalhes de integração.
Não alargue as capacidades do Trusted Access a clientes terceiros, utilizadores externos ou fluxos de trabalho de produtos a jusante.
