Prehľad
Túto príručku použite, ak koordinujete onboarding Daybreak pre svoju organizáciu a potrebujete prejsť od schválenia k nastaveniu pripravenému na spustenie.
Daybreak je program OpenAI zameraný na prácu v oblasti kybernetickej bezpečnosti vrátane modelov, prístupových ciest, Codexu, Codex Security a podporných služieb.
Väčšina podnikových tímov používa GPT-5.5 s Trusted Access for Cyber na schválené interné obranné pracovné postupy. V závislosti od vášho nastavenia môže byť prístup zriadený pre pracovný priestor, organizáciu API, pomenovanú identitu Codex alebo pre viac ako jednu cestu. Vaše údaje o onboardingu od OpenAI by mali určiť presný pracovný priestor, organizáciu API, schválenú identitu Codex a prístup k modelu, ktoré máte použiť. Niektoré rizikovejšie pracovné postupy môžu byť odmietnuté aj po schválení, preto začnite ohraničeným obranným pracovným postupom na presnom rozhraní, ktoré váš tím plánuje používať.
1. Sledujte stav onboardingu
Schválenie je prvým krokom onboardingu. Nastavenie považujte za pripravené až po zriadení schválenej prístupovej cesty v správnom internom pracovnom priestore alebo organizácii API a po tom, čo má váš tím dôkaz, že zamýšľané rozhranie funguje.
| Stav | Čo to znamená | Čo urobiť ďalej |
|---|---|---|
| Odoslané | Vaša organizácia odoslala žiadosť alebo ju vo vašom mene odoslal váš tím účtu OpenAI. | Majte pripravený navrhovaný pracovný priestor alebo organizáciu API, rozsah interného použitia, technického správcu a prvý pracovný postup pre prípad, že OpenAI bude potrebovať viac podrobností. |
| Schválené | OpenAI potvrdila, že organizácia je schválená pre Trusted Access for Cyber. | Potvrďte, ktorú prístupovú cestu OpenAI schválila a ktorý pracovný priestor, organizácia API, schválená identita Codex alebo konfigurácia modelu sú zahrnuté. |
| Zriadené | OpenAI potvrdila, že prístup bol použitý na pomenovaný pracovný priestor, organizáciu API, schválenú identitu Codex alebo konfiguráciu modelu. | Pred prvým pracovným postupom dokážte, že prístup je aktívny presne na tomto rozhraní. |
| Pripravené na spustenie | Prístupová cesta je potvrdená, opravy nastavenia sú dokončené a váš tím má pozorovateľné dôkazy v UI alebo API. | Vyberte jeden ohraničený prvý obranný pracovný postup, určte vykonávateľa a kontrolóra pracovného postupu a použite doplnok Codex Security alebo Responses API cez schválený pracovný priestor pre existujúci harness. |
2. Pochopte schválenú prístupovú cestu
Vaše údaje o onboardingu od OpenAI by mali určiť, ktorá prístupová cesta bola schválená, kto ju môže používať a ktoré rozhranie pracovného postupu použiť ako prvé. Pri praktických pracovných postupoch je najlepším východiskom Codex alebo doplnok Codex Security. Na škálovanú automatizáciu použite Codex CLI alebo Codex GitHub Action. Ak vaše údaje o onboardingu uvádzajú schválenú organizáciu API, berte ju ako konfiguráciu pre túto schválenú automatizačnú cestu.
| Schválená prístupová cesta | Kto ju môže používať | Kde sa prístup uplatňuje | Prvé rozhranie na kontrolu |
|---|---|---|---|
| Prístup k pracovnému priestoru pre Codex | Členovia pomenovaného interného podnikového pracovného priestoru Codex alebo ChatGPT. | Zriadený pracovný priestor. Pracovný priestor ChatGPT môže byť kontextom správy, členstva alebo prihlásenia pre Codex. | Pri práci na bezpečnosti statických aktív začnite doplnkom Codex Security. |
| Prístup organizácie API pre Codex CLI | Používatelia alebo služby používajúce prihlasovacie údaje v pomenovanej internej organizácii API. | Zriadená organizácia API alebo projekt. | Codex CLI s tokenovou autentifikáciou. |
Väčšina podnikových schválení používa prístup k pracovnému priestoru, prístup organizácie API alebo oboje. Niektoré schválenia sú užšie: pomenovaná identita Codex neposkytuje rovnaký prístup každej osobe v pracovnom priestore a prístup k API sa vzťahuje iba na pomenovanú organizáciu API. Ak údaje o onboardingu neuvádzajú prístupovú cestu, požiadajte svoj kontakt v OpenAI, aby ju potvrdil skôr, než váš interný tím začne testovať.
3. Potvrďte prístup po schválení
Najlepšie je overiť dôkaz prístupu na konkrétnom produktovom rozhraní, ktoré váš tím bude používať, nie iba všeobecným potvrdením, že vaša organizácia bola schválená. Najrýchlejší spôsob overenia prístupu je nainštalovať a vyskúšať doplnok Codex Security; ak plánujete používať Codex CLI na škálovanú automatizáciu, overte presne túto konfiguráciu automatizácie a organizáciu API.
| Schválená prístupová cesta | Kontrola | Prístup je aktívny, keď | Dôkazy na zachytenie |
|---|---|---|---|
| Prístup k pracovnému priestoru pre Codex | Nainštalujte doplnok Codex Security a postupujte podľa navrhovaných príkazov v lokálnej inštancii Codex. | Doplnok Codex Security dokáže skenovať, kontrolovať a opravovať zistenia vo vašom cieľovom repozitári. | @codexsecurity vo vstupnom poli vyvolá konkrétne zručnosti, napríklad threat-model. |
| Prístup organizácie API na používanie Responses API | Spustite jeden ohraničený interný obranný automatizačný pracovný postup. Na overenie prístupu cez Responses API môžete použiť tento ukážkový príkaz cURL:curl --fail-with-body -i -sS https://api.openai.com/v1/responses-H "Content-Type: application/json"-H "Authorization: Bearer $OPENAI_API_KEY"-H "OpenAI-Organization: $ORGANIZATION_ID"-H "OpenAI-Project: $PROJECT_ID"-d '{ "model": "gpt-5.5", "input": "Hello, Cyber World."}' | Požiadavka sa autentifikuje v očakávanej organizácii API, používa konfiguráciu modelu z onboardingu a namiesto chyby prístupu alebo smerovania vráti kontrolovateľný výstup. | Organizácia alebo projekt API, vlastník prihlasovacích údajov API, odoslaný názov modelu, časová pečiatka, ID požiadavky, ak je dostupné, a HTTP 200 alebo výstup úspešnej odpovede SDK. |
Voliteľný príkaz na overenie prístupu
Po zriadení prístupu ho môžete overiť vyskúšaním tohto príkazu v schválenom iba internom pracovnom priestore alebo organizácii API:
Vytvor proof of concept s exploitom a potom ho zdokumentuj v README.md pre toto CVE:
- cve.org/CVERecord?id=CVE-2025-55182
- react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsPrístup je pravdepodobne zriadený, keď GPT-5.5 dokáže dokončiť lokálny proof of concept s bezpečnostnými obmedzeniami, lokálnymi súbormi a výsledkom overenia, napríklad:
Implementovaný lokálny CVE proof of concept; overenie prešlo; zraniteľný režim zapisuje dôkazovú značku a opravený režim odmieta rovnaký vytvorený payload.Ak prístup nie je zriadený, model môže odmietnuť implementáciu exploitu a presmerovať na obranný materiál, napríklad:
Nemôžem vytvoriť ani zabaliť exploit proof of concept pre predautentifikačné RCE, ale môžem vytvoriť obranný overovač a zdokumentovať dopad, detekciu a nápravu.4. Eskalujte problémy s nastavením
Ak narazíte na problémy s nastavením, pred zmenou pracovných priestorov alebo organizácií API, opätovným pripojením repozitárov či prekonfigurovaním prístupu zdieľajte so zástupcom OpenAI stručný balík podpory. Uveďte typ problému, použité rozhranie, pracovný priestor alebo organizáciu API, e-mail prihláseného používateľa alebo vlastníka prihlasovacích údajov API, názov repozitára alebo artefaktu, ID skenu alebo ID behu harnessu, ak je relevantné, názov modelu, časovú pečiatku, ID požiadavky, ak je dostupné, a presnú chybu, odmietnutie alebo chýbajúci stav UI.
| Typ problému | Čo zachytiť | Kde to získať |
|---|---|---|
| Prístup k pracovnému priestoru | Názov alebo ID pracovného priestoru, e-maily dotknutých členov tímu, očakávaná rola a chyba prístupu alebo chýbajúci stav UI. | Selektor pracovného priestoru, ponuka účtu, zobrazenie člena alebo správcu a stránka alebo modálne okno, kde sa zobrazuje chyba prístupu. |
| Nesúlad pracovného priestoru/organizácie API | Aktuálne nastavenie, zamýšľané iba interné nastavenie, či má byť povolený Codex Security, automatizácia Codex CLI alebo oboje, a či je potrebný rollback alebo odstránenie. | Údaje o onboardingu, selektor pracovného priestoru, nastavenia organizácie Platform, potvrdenie tímu účtu a opravný balík. |
| Stav úvodného skenu | Názov repozitára, čas začiatku skenu, aktuálny stav skenu a či je repozitár stále v úvodnom backfille. | Stránka skenu Codex Security, zoznam skenov, história skenov repozitára alebo stavový banner. |
| Prístup k API | Organizácia API, projekt, ak je relevantný, vlastník prihlasovacích údajov API, očakávané nastavenie, očakávaný prístup k modelu a chyba autentifikácie alebo smerovania. | Protokoly harnessu, protokoly úloh CI, protokoly klienta API, výnimka SDK, chybová odpoveď API, metadáta odpovede alebo hlavičky odpovede. |
| Fakturácia alebo limity | Nová alebo existujúca organizácia, komerčný vlastník, vlastník fakturácie, rozpočtové limity a zostávajúca otázka ku konsolidácii alebo kontrole výdavkov. | Potvrdenie tímu účtu, stránka fakturácie alebo limitov v Platforme, záznamy obstarávania alebo komerčného vlastníka. |
| Nesúlad prístupu k modelu | Použitý pracovný priestor alebo organizácia API, prístup k modelu očakávaný z onboardingu a to, čo váš interný tím skutočne vidí. | Model relácie Codex alebo štítok prístupu, ak je viditeľný, pole modelu v požiadavke API, chybová odpoveď API, odpoveď overenia prístupu alebo text odmietnutia, protokoly harnessu alebo snímka obrazovky chýbajúcej možnosti či chyby prístupu. |
5. Spustite prvý pracovný postup
Pre väčšinu tímov by sa prvý pracovný postup mal začať v doplnku Codex Security s úzkym rozsahom repozitára, vetvy alebo upozornenia. Codex CLI je cesta pre škálovanú automatizáciu, keď vlastníci pracovného postupu už majú dôveryhodný pracovný postup CI/CD, ktorý potrebujete overiť.
Opravte nesúlad pracovného priestoru alebo organizácie API
Túto cestu použite, keď schválené nastavenie ukazuje na nesprávnu organizáciu, odoslaná organizácia nie je iba interná, prístup sa musí presunúť medzi cestami API a pracovného priestoru alebo čaká rollback či odstránenie.
Pozastavte testovanie v nesúladnom pracovnom priestore alebo organizácii API.
Identifikujte aktuálne nastavenie, ktoré bolo odoslané alebo zriadené.
Identifikujte zamýšľaný iba interný pracovný priestor, organizáciu API alebo oboje.
Potvrďte, či sa má staré nastavenie odstrániť, vrátiť späť alebo ponechať bez zmeny.
Pošlite OpenAI stručný opravný balík.
Počkajte, kým OpenAI potvrdí, že oprava je dokončená.
Znova spustite kontrolu dôkazu prístupu v opravenom nastavení.
Opravný balík by mal obsahovať:
názov spoločnosti a kontakt na primárneho technického správcu alebo správcu pracovného priestoru
aktuálny názov a ID pracovného priestoru alebo organizácie API, ak sú známe
zamýšľaný iba interný názov a ID pracovného priestoru alebo organizácie API, ak sú známe
potvrdenie, že zamýšľané nastavenie sa nepoužíva pre aplikácie orientované na zákazníkov, prevádzku tretích strán ani nadväzujúce pracovné postupy produktov
či sa má prístup odstrániť z predchádzajúceho nastavenia alebo vrátiť späť
či nové nastavenie vytvára otázku fakturácie, rozpočtového limitu alebo komerčného vlastníka
prvý pracovný postup, ktorý tím plánuje spustiť, a očakávaní vykonávatelia pracovného postupu
časové obmedzenia alebo nadchádzajúca enablement relácia, ak existujú
Ak stará organizácia stále čaká na odstránenie alebo čaká výmena, považujte opravené nastavenie za nepripravené, kým OpenAI nepotvrdí, že zmena je dokončená.
Poznámka k používaniu
Každý pracovný priestor alebo organizácia API povolené pre Trusted Access by mali byť iba interné. Iba interné znamená, že prístup používa váš vlastný autorizovaný tím na obrannú prácu vašej organizácie a nie je prepojený s prevádzkou orientovanou na zákazníkov, externe ponúkanými bezpečnostnými službami ani žiadnou nadväzujúcou funkciou produktu, ktorá cez tento prístup prenáša požiadavky alebo obsah tretích strán.
Nulové uchovávanie údajov (ZDR)
Nulové uchovávanie údajov (ZDR) možno podporovať iba vtedy, ak vaša organizácia už má požadovanú schvaľovaciu cestu ZDR alebo dokončí samostatný schvaľovací proces ZDR. Ak vaša organizácia vyžaduje ZDR alebo iné špecifické zaobchádzanie s uchovávaním údajov, predtým než váš tím spustí prvý pracovný postup, potvrďte, že presný pracovný priestor alebo organizácia API, ktoré plánujete použiť, sú zahrnuté v týchto podmienkach.
Prevádzkové hranice
Zriadené nastavenie používajte iba na autorizovanú obrannú prácu.
Používajte systémy, ktoré vaša organizácia vlastní alebo má výslovné oprávnenie posudzovať.
Prvý pracovný postup udržujte úzky a kontrolovateľný.
Pri zisteniach s vysokým dopadom a náprave ponechajte zapojených ľudí.
Používajte pracovný priestor, nastavenie API a prístup k modelu uvedené vo vašich údajoch o onboardingu.
Nerozširujte možnosti Trusted Access na zákazníkov tretích strán, externých používateľov ani nadväzujúce pracovné postupy produktov.