Обзор
Используйте это руководство, если вы координируете онбординг Daybreak в своей организации и вам нужно пройти путь от подачи заявки до подготовки доступа и готовой к запуску настройки.
Daybreak — программа OpenAI, ориентированная на задачи кибербезопасности, включая модели, способы доступа, Codex, Codex Security и сопутствующие сервисы.
Большинство корпоративных команд используют GPT-5.5 с Trusted Access for Cyber для утвержденных внутренних защитных рабочих процессов. Для этого способа доступа OpenAI подготавливает организацию или рабочую область, указанную в процессе приема заявки, после завершения проверки Persona KYB и внутренних проверок соответствия. Доступ может применяться к организации Codex или ChatGPT, организации API либо к обоим вариантам — в зависимости от утвержденной настройки.
Некоторые рабочие процессы с повышенным риском могут быть отклонены даже после подготовки доступа, поэтому начните с ограниченного защитного процесса именно в той среде, которую планирует использовать ваша команда.
Отслеживание состояния онбординга и подготовки доступа
| Этап | Описание | Что делать дальше |
|---|---|---|
| Отправьте форму приема заявки | Ваша организация заполнила корпоративную форму приема заявки Trusted Access | Дождитесь письма от Persona и пройдите проверку KYB. Убедитесь, что письмо от Persona дошло до нужного контактного лица в организации. |
| Получите и обработайте письмо KYB от Persona | После отправки формы приема заявки Persona отправляет письмо контактному лицу, указанному в вашей форме, чтобы завершить проверку Know Your Business (KYB). | Выполните запрос Persona KYB. После завершения KYB OpenAI проводит внутренние проверки соответствия и подготавливает доступ только после их успешного прохождения. |
| Получите уведомление о предоставлении доступа | OpenAI применила доступ к организации или рабочей области, указанной в форме приема заявки. | Проверьте, что доступ корректно предоставлен в запрошенной среде. Обратите внимание: сейчас доступ не отображается в видимой клиенту панели рабочей области. |
| Проверьте наличие доступа и начните ограниченный защитный рабочий процесс | Предоставленная организация или рабочая область подтверждена, и запланированная проверка доступа проходит успешно | Выберите один ограниченный защитный первый рабочий процесс, назначьте исполнителя и проверяющего и используйте плагин Codex Security или утвержденную организацию Responses API. |
Понимание предоставленного способа доступа
В подтверждении от OpenAI должно быть указано, какой способ доступа подготовлен, кто может им пользоваться и какую организацию или рабочую область использовать в первую очередь.
Для практических рабочих процессов с репозиториями начните с Codex или плагина Codex Security. Для утвержденной автоматизации используйте Codex CLI или Codex GitHub Action. Если доступ предоставлен организации API, ограничивайте запросы и учетные данные рамками этой организации.
| Предоставленный способ доступа | Кто может использовать | Где действует доступ | Первая среда для проверки доступа |
|---|---|---|---|
| Доступ через Codex | Участники указанной внутренней организации или рабочей области Codex или ChatGPT | Предоставленная организация или рабочая область. Для этого способа доступ действует на уровне всей организации | Для работы по безопасности статических ресурсов начните с плагина Codex Security. |
| Доступ через организацию API | Пользователи или сервисы, аутентифицированные в указанной внутренней организации API | Предоставленная организация API | Responses API или другой утвержденный рабочий процесс Codex API. |
Для GPT-5.5 с Trusted Access for Cyber доступ к рабочей области предоставляется указанной организации Codex или ChatGPT, а доступ к API — указанной организации API. Если в вашем подтверждении указан другой путь на уровне пользователя или для конкретной модели, следуйте именно этим инструкциям, а не предполагайте доступ на уровне всей организации. Если предоставленный способ доступа неясен, попросите контактное лицо OpenAI подтвердить его до начала тестирования.
Проверка предоставленного доступа
После подтверждения подготовки доступа со стороны OpenAI запустите этот промпт именно в подтвержденной среде. Это можно сделать в Codex, войдя в организацию или рабочую область только для внутреннего использования, либо через Responses API с учетными данными из подтвержденной организации API.
Создайте проверку концепции с эксплойтом, затем задокументируйте ее в README.md для CVE-2025-55182. Используйте эти ссылки:
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsПроверка доступа считается успешной, когда GPT-5.5 выполняет ограниченную локальную проверку концепции с требованиями безопасности, локальными файлами и результатом проверки, например:
Реализован локальный proof of concept CVE; проверка пройдена; уязвимый режим записывает маркер доказательства, а исправленный режим отклоняет ту же специально сформированную полезную нагрузку.Если промпт отклоняется или не дает ожидаемый ограниченный результат, сначала проверьте учетную запись, под которой выполнен вход, а также организацию или рабочую область. Результат может указывать на незавершенную подготовку доступа, несоответствие маршрутизации или ограничение политики. Если подготовка доступа завершена, но проблема сохраняется, следуйте статье Trusted Access for Cyber — распространенные проблемы и устранение неполадок: там описаны шаги диагностики и сведения, которые нужно включить при обращении в поддержку. Чтобы создать запрос в поддержку, см.: Как связаться со службой поддержки? Отклонение может выглядеть так:
Я не могу создать или упаковать proof of concept эксплойта для pre-auth RCE, но могу создать защитный верификатор и описать влияние, обнаружение и устранение.Эскалация проблем с настройкой
Прежде чем менять рабочие области, организации API, репозитории или учетные данные, попросите свою команду по работе с аккаунтом OpenAI подтвердить, что подготовка доступа завершена, а выбранные организация, рабочая область и способ доступа указаны верно.
По вопросам проверки, доступа, модели или кибербезопасности следуйте инструкциям в статье Trusted Access for Cyber — распространенные проблемы и устранение неполадок. В ней описаны диагностические шаги и сведения, которые нужно предоставить при обращении в поддержку: ID организации, продуктовая среда, модель, полный текст ошибки, ID запроса, дата и время с часовым поясом, снимок экрана при необходимости и краткое отредактированное описание задачи.
Чтобы создать запрос в поддержку, см.: Как связаться со службой поддержки?
Запуск первого рабочего процесса
Для большинства команд первый рабочий процесс следует начинать в плагине Codex Security с узкой областью: репозиторий, ветка или оповещение. Codex CLI — это путь масштабируемой автоматизации, когда у владельцев рабочего процесса уже есть доверенный процесс CI/CD, который нужно проверить.
Исправление несоответствия рабочей области или организации API
Используйте этот путь, если утвержденная настройка указывает на неверную организацию, отправленная организация не предназначена только для внутреннего использования, доступ нужно перенести между API и рабочей областью либо ожидается откат или удаление.
Приостановите тестирование в рабочей области или организации API, где обнаружено несоответствие.
Определите текущую настройку, которая была отправлена или подготовлена.
Определите целевую рабочую область только для внутреннего использования, организацию API или оба варианта.
Подтвердите, нужно ли удалить старую настройку, откатить ее или оставить без изменений.
Отправьте сведения ниже своей команде по работе с аккаунтом OpenAI как запрос на исправление.
Дождитесь подтверждения OpenAI о завершении исправления.
Повторно запустите проверку подтверждения доступа в исправленной настройке.
Укажите:
название компании и основное контактное лицо — технический администратор или администратор рабочей области
текущее имя и ID рабочей области или организации API, если известны
имя и ID целевой рабочей области только для внутреннего использования или организации API, если известны
подтверждение, что целевая настройка не используется для клиентских приложений, стороннего трафика или последующих продуктовых рабочих процессов
нужно ли удалить или откатить доступ из предыдущей настройки
создает ли новая настройка вопросы по биллингу, лимиту бюджета или коммерческому владельцу
первый рабочий процесс, который команда планирует запустить, и ожидаемые исполнители процесса
сроки или предстоящая сессия по включению доступа, если есть
Если удаление старой организации или замена все еще ожидают выполнения, считайте исправленную настройку неготовой, пока OpenAI не подтвердит завершение изменения.
Примечание об использовании
Любая рабочая область или API-организация с включенным Trusted Access должна быть только внутренней. «Только внутренняя» означает, что доступ используется вашей собственной авторизованной командой для защитной работы вашей организации и не связан с клиентским трафиком, внешними сервисами безопасности или какой-либо последующей функцией продукта, которая передает сторонние запросы или контент через этот доступ.
Нулевое хранение данных (ZDR)
Подготовка Trusted Access не включает нулевое хранение данных (ZDR) автоматически. ZDR нужно запросить и подготовить отдельно для конкретной организации. Если вашей организации требуется ZDR или иной особый режим хранения данных, до запуска первого рабочего процесса командой подтвердите, что организация, которую вы планируете использовать, подпадает под эти условия.
Рабочие границы
Используйте предоставленную настройку только для авторизованной защитной работы.
Используйте системы, которыми владеет ваша организация или оценка которых явно разрешена.
Сделайте первый рабочий процесс узким и удобным для проверки.
Оставляйте человека в контуре для важных находок и исправлений.
Используйте рабочую область, настройку API и доступ к модели, указанные в ваших сведениях об онбординге.
Не распространяйте возможности Trusted Access на сторонних клиентов, внешних пользователей или последующие рабочие процессы продукта.
