Обзор
Trusted Access for Cyber — это модель управления для OpenAI Daybreak. Она помогает квалифицированным корпоративным клиентам и специалистам по кибербезопасности эффективнее использовать модели OpenAI для авторизованной работы в области кибербезопасности и предназначена для поддержки законных рабочих процессов безопасности за счет снижения ненужных препятствий с помощью более точных мер защиты. Политики использования OpenAI, другие меры защиты и элементы контроля доступа продолжают применяться.
Trusted Access предназначен для авторизованной защитной работы в области кибербезопасности с системами, приложениями, учетными записями, сетями или данными, которыми вы владеете, управляете или которые вам явно разрешено тестировать либо анализировать.
Рабочие процессы клиентов обычно делятся на три категории:
Secure SDLC / AppSec: непрерывное сканирование кода, сканирование тестовых сред, проверка обнаруженных проблем безопасности, автоматизация исправлений безопасности, безопасная проверка кода и установка исправлений.
Защитные операции: blue teaming, моделирование угроз, аналитика угроз, поиск угроз, анализ вредоносного ПО, разработка обнаружений, сортировка уязвимостей и проверка исправлений.
Авторизованное наступательное тестирование: тестирование на проникновение, red teaming, проверка или разработка эксплойтов, анализ вредоносного ПО, обратная инженерия и контролируемая проверка в авторизованных средах.
В таблице ниже описаны текущие уровни доверенного доступа:
| Доступ | Что меняется | Предполагаемые сценарии использования |
|---|---|---|
| GPT-5.5 (по умолчанию) | Стандартные меры защиты для универсального использования | Рабочие процессы Secure SDLC и безопасности приложений, включая моделирование угроз, безопасные проверки кода и установку исправлений, а также обобщенный blue teaming |
| GPT-5.5 с Trusted Access for Cyber | Более точные меры защиты для проверенной защитной работы в авторизованных средах | Сортировка и проверка уязвимостей, анализ вредоносного ПО, разработка обнаружений и проверка исправлений |
| GPT-5.5-Cyber | Специально создан для специализированных авторизованных рабочих процессов в сочетании с усиленной проверкой и контролем на уровне учетной записи | Авторизованное наступательное тестирование, включая red teaming, разработку эксплойтов, тестирование на проникновение и поиск угроз |
GPT-5.5 — исключительная модель для распространенных киберзадач, включая безопасные проверки кода, установку исправлений, моделирование угроз и обобщенный blue teaming. Для большинства защитников GPT-5.5 с Trusted Access for Cyber — подходящий уровень возможностей, когда одобренным рабочим процессам нужны более точные меры защиты для авторизованной защитной работы. Этот уровень доступа может обрабатывать подавляющее большинство законных защитных рабочих процессов, сохраняя широкие преимущества модели и ее позицию в области безопасности.
Более специализированный доступ становится актуальным только тогда, когда авторизованные рабочие процессы требуют наступательных кибервозможностей. Это происходит в рабочих процессах с повышенным риском, таких как red teaming, разработка эксплойтов, анализ вредоносного ПО и обратная инженерия, где защитникам может потребоваться выйти за рамки анализа и проверить возможность эксплуатации в контролируемой среде. GPT-5.5-Cyber разработан для поддержки этих более специализированных рабочих процессов двойного назначения.
Подробнее в Масштабирование Trusted Access for Cyber с GPT-5.5 и GPT-5.5-Cyber
Ограничения
Trusted Access for Cyber не:
Отменяет все меры защиты или все отказы.
Гарантирует доступ к каждой специализированной кибермодели.
Предоставляет нулевое хранение данных (ZDR) по умолчанию.
Разрешает перепродажу, проксирование, встраивание или последующий доступ для сторонних клиентов или внешних пользователей.
Разрешает действия за пределами систем, которыми вы владеете или которые вам явно разрешено тестировать.
Доступ предназначен только для одобренных внутренних пользователей и одобренных внутренних рабочих процессов. Организация или рабочая область, используемая для Trusted Access, должна быть зарезервирована для внутренней работы по безопасности и не должна также обслуживать клиентские приложения, последующий продуктовый трафик или доступ третьих сторон.
Подача заявки на Trusted Access for Cyber
Чтобы запросить Trusted Access for Cyber:
В рамках проверки вас могут попросить предоставить информацию о:
Вашей организации и возможностях в области кибербезопасности.
Защитных рабочих процессах кибербезопасности, которые вы хотите поддерживать.
Организации OpenAI или рабочей области, которую вы планируете использовать.
Сведениях для проверки или доверия, необходимых для оценки соответствия требованиям.
OpenAI рассматривает запросы перед включением доступа. Одобрение не является автоматическим.
Преимущества, доступные через Trusted Access for Cyber, зависят от доступа, одобренного для вашего запроса; OpenAI оценивает его на основе таких факторов, как проверка личности и доверия, учет рисков, предполагаемый сценарий использования и способность заявителя укреплять более широкую экосистему кибербезопасности.
Ответственное использование Trusted Access
Вы несете ответственность за то, чтобы ваше использование оставалось в одобренных рамках и соответствовало условиям OpenAI и политикам использования.
Если ваш запрос одобрен, используйте Trusted Access только для законной, авторизованной работы в области кибербезопасности; вы также должны согласиться с нашей Политикой против киберзлоупотреблений: мы запрещаем использовать наши сервисы для содействия киберзлоупотреблениям — нарушению целостности, конфиденциальности или доступности информационной системы, включая кибердействия «двойного назначения», выполняемые со злым умыслом, без надлежащего разрешения или сверх предоставленного разрешения.
Также убедитесь, что организация или рабочая область, используемая для Trusted Access, подходит для внутренней работы по безопасности. Если та же организация обслуживает клиентский трафик или последующие продуктовые рабочие процессы, перед подачей заявки обратитесь к своему контактному лицу в OpenAI. Trusted Access for Cyber нельзя распространять на сторонних клиентов, внешних пользователей, клиентские рабочие процессы или последующий продуктовый трафик.
Устранение неполадок
Читайте: Trusted Access for Cyber — распространенные проблемы и устранение неполадок
Часто задаваемые вопросы
Что меняется после одобрения?
Одобренным клиентам разрешается использовать GPT-5.5 для подходящих рабочих процессов кибербезопасности в зависимости от уровня доступа. Trusted Access for Cyber может снизить ненужные препятствия для одобренной защитной работы в Secure SDLC / AppSec, защитных операциях и авторизованных наступательных тестовых рабочих процессах. Другие меры защиты и элементы контроля политик использования по-прежнему применяются.
Включает ли одобрение доступ к GPT-5.5-Cyber?
Не автоматически. Trusted Access for Cyber может поддерживать многие защитные рабочие процессы кибербезопасности с GPT-5.5. GPT-5.5-Cyber предназначен для более узкого набора специализированных авторизованных рабочих процессов, таких как red teaming и проверка или разработка эксплойтов, и может требовать дополнительного одобрения и мер контроля.
Могу ли я использовать Trusted Access для своих клиентов или внешних пользователей?
Нет. Trusted Access предназначен только для одобренного внутреннего использования. Его нельзя распространять на сторонних клиентов, внешних пользователей, клиентские рабочие процессы или последующий продуктовый трафик.
Включает ли Trusted Access нулевое хранение данных (ZDR)?
Нет. Trusted Access и нулевое хранение данных (ZDR) — это отдельные вещи. Если вам нужны рекомендации по хранению данных или настройке организации, обратитесь к своему контактному лицу в OpenAI.
Могу ли я использовать Trusted Access для систем, которыми не владею?
Только если у вас есть явное разрешение тестировать или анализировать их. Вам не разрешается передавать или продавать доступ TAC третьим сторонам либо использовать TAC для тестирования систем, которыми вы не владеете или на тестирование либо анализ которых у вас нет явного разрешения.
Можно ли использовать GPT-5.5 с Trusted Access for Cyber вне Codex?
Да. Trusted Access не ограничивается Codex. Если ваш одобренный путь доступа это поддерживает, вы можете использовать GPT-5.5 с Trusted Access for Cyber в конвейерах CI/CD и других внутренних инструментах безопасности, пока использование остается в ваших одобренных, авторизованных защитных рамках.
Как настроить Trusted Access, если наша текущая организация OpenAI обслуживает клиентский API-трафик?
Используйте организацию или рабочую область, зарезервированную для одобренной внутренней работы по безопасности. Trusted Access не следует включать для организации, которая обслуживает клиентские приложения, доступ третьих сторон или последующий продуктовый трафик. Перед подачей заявки или включением доступа обсудите подходящую настройку со своим контактным лицом в OpenAI.
Может ли контракт или покупка гарантировать доступ к GPT-5.5-Cyber?
Нет. Доступ к GPT-5.5-Cyber ограничен и предоставляется на основе одобрения. Само по себе коммерческое соглашение или покупка не гарантируют доступ. Если ваш запрос будет одобрен, OpenAI подтвердит доступный путь доступа и любые применимые условия.
Что проверить, если после одобрения я все еще вижу сообщение о кибербезопасности?
Подтвердите, что вы используете одобренную организацию или рабочую область, одобренную модель или путь доступа, а также предполагаемую продуктовую поверхность. Некоторые меры защиты могут продолжать применяться после одобрения. Если явно защитный запрос неожиданно блокируется, обратитесь в службу поддержки, указав точное сообщение, модель, продуктовую поверхность, метку времени, ID запроса при наличии и краткое отредактированное описание задачи. Подробнее: Trusted Access for Cyber — распространенные проблемы и устранение неполадок
Как организация может ограничить Trusted Access нужными сотрудниками?
Trusted Access должен быть доступен только одобренным внутренним пользователям, работающим над авторизованными задачами безопасности. Если вам нужно ограничить доступ, обратитесь к своему контактному лицу в OpenAI, чтобы настроить организацию или рабочую область только для внутреннего использования и предоставить доступ только соответствующим пользователям.
