Genel bakış
Kuruluşunuz için Daybreak katılım sürecini koordine ediyorsanız ve başvurudan sağlamaya, oradan da çalışmaya hazır bir kuruluma geçmeniz gerekiyorsa bu kılavuzu kullanın.
Daybreak; modeller, erişim yolları, Codex, Codex Security ve destekleyici hizmetler dahil olmak üzere siber güvenlik çalışmalarına odaklanan OpenAI programıdır.
Çoğu kurumsal ekip, onaylı dahili savunma iş akışları için GPT-5.5’i Trusted Access for Cyber ile kullanır. Bu erişim yolunda OpenAI, Persona KYB doğrulaması ve dahili uygunluk kontrolleri tamamlandıktan sonra başvuru sürecinde belirlenen kuruluşu veya çalışma alanını sağlar. Onaylanan kuruluma bağlı olarak erişim bir Codex veya ChatGPT kuruluşuna, bir API kuruluşuna ya da her ikisine uygulanabilir.
Daha yüksek riskli bazı iş akışları sağlama sonrasında da reddedilebilir; bu nedenle ekibinizin kullanmayı planladığı tam ortamda sınırlandırılmış bir savunma iş akışıyla başlayın.
Katılım ve sağlama durumunu izleyin
| Aşama | Açıklama | Sonraki adım |
|---|---|---|
| Başvuru formunu gönderin | Kuruluşunuz kurumsal Trusted Access başvuru formunu tamamladı | Persona’dan gelecek e-postayı bekleyin ve KYB doğrulamasını tamamlayın. Persona e-postasının kuruluşunuzdaki doğru ilgili kişiye ulaştığından emin olun. |
| Persona’dan KYB e-postasını alın ve tamamlayın | Başvuru formu gönderildikten sonra Persona, İşletmeni Tanı (KYB) doğrulamasını tamamlaması için başvuru formunuzda belirtilen ilgili kişiye e-posta gönderir. | Persona KYB isteğini tamamlayın. KYB tamamlandıktan sonra OpenAI dahili uygunluk kontrollerini yapar ve yalnızca bu kontrollerden geçildikten sonra sağlama işlemini gerçekleştirir. |
| Sağlamanın yapıldığına dair bildirim alın | OpenAI, başvuru formunda istenen kuruluşa veya çalışma alanına erişim uyguladı. | Erişimin istenen ortamda doğru şekilde sağlandığını kontrol edin. Erişimin şu anda müşterinin görebildiği bir çalışma alanı panosunda listelenmediğini unutmayın. |
| Erişiminiz olduğunu kontrol edin ve sınırlandırılmış bir savunma iş akışı başlatın | Sağlanan kuruluş veya çalışma alanı doğrulandı ve amaçlanan erişim kontrolü başarılı oldu | Sınırlandırılmış bir ilk savunma iş akışı seçin, iş akışı çalıştırıcısını ve inceleyicisini belirleyin ve Codex Security eklentisini veya onaylı bir Responses API kuruluşunu kullanın. |
Sağlanan erişim yolunu anlayın
OpenAI’dan gelen onayda hangi erişim yolunun sağlandığı, bunu kimlerin kullanabileceği ve önce hangi kuruluşun veya çalışma alanının kullanılacağı belirtilmelidir.
Uygulamalı depo iş akışları için Codex veya Codex Security eklentisiyle başlayın. Onaylı otomasyon için Codex CLI veya Codex GitHub Action kullanın. Erişim bir API kuruluşuna sağlandıysa istekleri ve kimlik bilgilerini o kuruluşla sınırlı tutun.
| Sağlanan erişim yolu | Kimler kullanabilir | Erişimin geçerli olduğu yer | Erişimi doğrulamak için ilk ortam |
|---|---|---|---|
| Codex üzerinden erişim | Adı belirtilen dahili Codex veya ChatGPT kuruluşunun ya da çalışma alanının üyeleri | Sağlanan kuruluş veya çalışma alanı. Bu yol için erişim kuruluş genelindedir | Statik varlık güvenliği çalışmaları için Codex Security eklentisiyle başlayın. |
| API kuruluşu üzerinden erişim | Adı belirtilen dahili API kuruluşunda kimliği doğrulanmış kullanıcılar veya hizmetler | Sağlanan API kuruluşu | Responses API veya onaylı başka bir Codex API iş akışı. |
Trusted Access for Cyber ile GPT-5.5 için çalışma alanı erişimi adı belirtilen Codex veya ChatGPT kuruluşuna, API erişimi ise adı belirtilen API kuruluşuna sağlanır. Onayınız farklı bir kullanıcı düzeyi veya modele özgü yol belirtiyorsa kuruluş genelinde erişim olduğunu varsaymak yerine bu talimatları aynen izleyin. Sağlanan erişim yolu net değilse test etmeden önce OpenAI iletişim kişinizden bunu doğrulamasını isteyin.
Sağlanan erişimi doğrulayın
OpenAI sağlamayı onayladıktan sonra bu promptu tam olarak onaylanan ortamda çalıştırın. Bu, yalnızca dahili kullanım amaçlı kuruluşa veya çalışma alanına oturum açmışken Codex içinde ya da onaylanan API kuruluşunun kimlik bilgileriyle Responses API üzerinden yapılabilir.
Açıktan yararlanma koduyla bir kavram kanıtı oluşturun, ardından bunu CVE-2025-55182 için README.md dosyasında belgeleyin. Şu referansları kullanın:
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsErişim kontrolü, GPT-5.5 güvenlik kısıtları, yerel dosyalar ve aşağıdaki gibi bir doğrulama sonucuyla sınırlandırılmış, yalnızca yerel kavram kanıtını tamamladığında başarılı olur:
Yalnızca yerel bir CVE kavram kanıtı uygulandı; doğrulama geçti; savunmasız mod bir kanıt işaretçisi yazar ve yamalı mod aynı özel hazırlanmış yükü reddeder.Prompt reddedilirse veya beklenen sınırlandırılmış sonucu üretmezse önce oturum açan kimliği ve kuruluşu ya da çalışma alanını doğrulayın. Sonuç, eksik sağlamayı, yönlendirme uyumsuzluğunu veya bir ilke sınırını gösterebilir. Sağlama tamamlandıysa ve sorun devam ediyorsa tanılama adımları ve Destek ile iletişime geçerken eklemeniz gereken ayrıntılar için Trusted Access for Cyber - Yaygın Sorunlar ve Sorun Giderme yönergelerini izleyin. Destek talebi açmak için bkz.: Destek ekibiyle nasıl iletişime geçebilirim? Bir ret şu şekilde görünebilir:
Ön kimlik doğrulamasız RCE için bir exploit kavram kanıtı oluşturamam veya paketleyemem; ancak savunma amaçlı bir doğrulayıcı oluşturabilir ve etkiyi, tespiti ve düzeltmeyi belgeleyebilirim.Kurulum sorunlarını üst ekibe iletin
Çalışma alanlarını, API kuruluşlarını, depoları veya kimlik bilgilerini değiştirmeden önce OpenAI hesap ekibinizden sağlamanın tamamlandığını ve amaçlanan kuruluşun, çalışma alanının ve erişim yolunun doğru olduğunu teyit etmesini isteyin.
Doğrulama, erişim, model veya siber güvenlik sorunları için Trusted Access for Cyber - Yaygın Sorunlar ve Sorun Giderme yönergelerini izleyin. Bu yönergeler, tanılama adımlarını ve Destek ile iletişime geçerken sağlamanız gereken kuruluş kimliği, ürün ortamı, model, tam hata mesajı, istek kimliği, zaman damgası ve saat dilimi, uygunsa ekran görüntüsü ve görevin kısaca redakte edilmiş açıklaması gibi bilgileri içerir.
Destek talebi açmak için bkz.: Destek ekibiyle nasıl iletişime geçebilirim?
İlk iş akışını başlatın
Çoğu ekip için ilk iş akışı, dar bir depo, dal veya uyarı kapsamıyla Codex Security eklentisinde başlamalıdır. Codex CLI, iş akışı sahiplerinin doğrulamanız gereken güvenilir bir CI/CD iş akışına zaten sahip olduğu durumlarda ölçekli otomasyon yoludur.
Çalışma alanı veya API kuruluşu uyumsuzluğunu düzeltin
Onaylanan kurulum yanlış kuruluşu gösteriyorsa, gönderilen kuruluş yalnızca dahili kullanım amaçlı değilse, erişimin API ile çalışma alanı yolları arasında taşınması gerekiyorsa veya geri alma/kaldırma beklemedeyse bu yolu kullanın.
Uyumsuz çalışma alanında veya API kuruluşunda testleri duraklatın.
Gönderilen veya sağlanan mevcut kurulumu belirleyin.
Amaçlanan yalnızca dahili çalışma alanını, API kuruluşunu veya her ikisini belirleyin.
Eski kurulumun kaldırılması mı, geri alınması mı yoksa değişmeden bırakılması mı gerektiğini doğrulayın.
Aşağıdaki ayrıntıları düzeltme isteği olarak OpenAI hesap ekibinize gönderin.
OpenAI’ın düzeltmenin tamamlandığını onaylamasını bekleyin.
Erişim kanıtı kontrolünü düzeltilen kurulumda yeniden çalıştırın.
Şunları ekleyin:
şirket adı ve birincil teknik ya da çalışma alanı yöneticisi iletişim bilgisi
biliniyorsa mevcut çalışma alanı veya API kuruluşu adı ve kimliği
biliniyorsa amaçlanan yalnızca dahili çalışma alanı veya API kuruluşu adı ve kimliği
amaçlanan kurulumun müşteriye yönelik uygulamalar, üçüncü taraf trafiği veya aşağı akış ürün iş akışları için kullanılmadığına dair onay
erişimin önceki kurulumdan kaldırılması veya geri alınması gerekip gerekmediği
yeni kurulumun faturalandırma, bütçe limiti veya ticari sahiplikle ilgili bir soru doğurup doğurmadığı
ekibin çalıştırmayı planladığı ilk iş akışı ve beklenen iş akışı çalıştırıcıları
varsa zamanlama kısıtları veya yaklaşan etkinleştirme oturumu
Eski bir kuruluşun kaldırılması hâlâ beklemedeyse veya bir değişim bekleniyorsa OpenAI değişikliğin tamamlandığını onaylayana kadar düzeltilen kurulumu hazır kabul etmeyin.
Kullanım notu
Trusted Access için etkinleştirilen her çalışma alanı veya API kuruluşu yalnızca dahili olmalıdır. Yalnızca dahili, erişimin kuruluşunuzun savunma çalışmaları için kendi yetkili ekibiniz tarafından kullanılması ve müşteriye dönük trafik, dışarıya sunulan güvenlik hizmetleri ya da üçüncü taraf isteklerini veya içeriklerini bu erişimden geçiren herhangi bir alt ürün özelliğiyle bağlantılı olmaması anlamına gelir.
Sıfır veri saklama (ZDR)
Trusted Access sağlaması, Sıfır veri saklama (ZDR) özelliğini otomatik olarak etkinleştirmez. ZDR, tam olarak ilgili kuruluş için ayrıca istenmeli ve sağlanmalıdır. Kuruluşunuz ZDR veya belirli başka bir veri saklama uygulaması gerektiriyorsa ekibiniz ilk iş akışına başlamadan önce kullanmayı planladığınız kuruluşun bu koşullar kapsamında olduğunu doğrulayın.
Çalışma sınırları
Sağlanan kurulumu yalnızca yetkili savunma çalışmaları için kullanın.
Kuruluşunuzun sahip olduğu veya değerlendirme için açıkça yetkilendirildiği sistemleri kullanın.
İlk iş akışını dar kapsamlı ve incelenebilir tutun.
Yüksek etkili bulgular ve düzeltme için insanları sürecin içinde tutun.
Başlangıç ayrıntılarınızda listelenen çalışma alanını, API kurulumunu ve model erişimini kullanın.
Trusted Access özelliklerini üçüncü taraf müşterilere, harici kullanıcılara veya alt ürün iş akışlarına genişletmeyin.
