Огляд
Скористайтеся цим посібником, якщо ви координуєте підключення Daybreak у своїй організації й вам потрібно пройти шлях від приймання заявки через надання доступу до готового до запуску налаштування.
Daybreak — це програма OpenAI, зосереджена на роботі з кібербезпеки, зокрема моделях, шляхах доступу, Codex, Codex Security і допоміжних сервісах.
Більшість корпоративних команд використовують GPT-5.5 із Trusted Access for Cyber для затверджених внутрішніх захисних робочих процесів. Для цього шляху доступу OpenAI надає доступ організації або робочому простору, визначеним під час приймання заявки, після завершення перевірки Persona KYB і внутрішніх перевірок придатності. Доступ може застосовуватися до організації Codex або ChatGPT, організації API або до обох — залежно від затвердженого налаштування.
Деякі робочі процеси з вищим ризиком можуть бути відхилені навіть після надання доступу, тому почніть з обмеженого захисного робочого процесу саме в тому середовищі, яке ваша команда планує використовувати.
Відстежуйте стан підключення та надання доступу
| Етап | Опис | Що робити далі |
|---|---|---|
| Надішліть форму заявки | Ваша організація заповнила корпоративну форму заявки на Trusted Access | Очікуйте електронного листа від Persona та пройдіть перевірку KYB. Переконайтеся, що лист від Persona надійде правильній контактній особі організації. |
| Отримайте й опрацюйте лист KYB від Persona | Після надсилання форми заявки Persona надсилає лист контактній особі, зазначеній у вашій формі, щоб завершити перевірку Know Your Business (KYB). | Виконайте запит Persona KYB. Після завершення KYB OpenAI проводить внутрішні перевірки придатності й надає доступ лише після їх успішного проходження. |
| Отримайте сповіщення про надання доступу | OpenAI застосувала доступ до організації або робочого простору, запитаних у формі заявки. | Перевірте, що доступ правильно надано в запитаному середовищі. Зверніть увагу: наразі доступ не відображається на видимій для клієнта панелі робочого простору. |
| Перевірте, що маєте доступ, і запустіть обмежений захисний робочий процес | Надану організацію або робочий простір підтверджено, а запланована перевірка доступу успішна | Виберіть один перший обмежений захисний робочий процес, визначте виконавця й рецензента робочого процесу та використовуйте плагін Codex Security або затверджену організацію Responses API. |
Зрозумійте наданий шлях доступу
Підтвердження від OpenAI має визначати, який шлях доступу надано, хто може ним користуватися та яку організацію або робочий простір слід використовувати спочатку.
Для практичних робочих процесів із репозиторіями почніть із Codex або плагіна Codex Security. Для затвердженої автоматизації використовуйте Codex CLI або Codex GitHub Action. Якщо доступ надано організації API, обмежуйте запити й облікові дані цією організацією.
| Наданий шлях доступу | Хто може ним користуватися | Де застосовується доступ | Перше середовище для перевірки доступу |
|---|---|---|---|
| Доступ через Codex | Учасники названої внутрішньої організації або робочого простору Codex чи ChatGPT | Організація або робочий простір, для яких надано доступ. Для цього шляху доступ діє на рівні всієї організації | Для роботи з безпекою статичних ресурсів почніть із плагіна Codex Security. |
| Доступ через організацію API | Користувачі або сервіси, автентифіковані в названій внутрішній організації API | Організація API, для якої надано доступ | Responses API або інший затверджений робочий процес Codex API. |
Для GPT-5.5 із Trusted Access for Cyber доступ до робочого простору надається названій організації Codex або ChatGPT, а доступ до API — названій організації API. Якщо у вашому підтвердженні вказано інший шлях на рівні користувача або для конкретної моделі, дотримуйтеся саме цих інструкцій, а не припускайте доступ на рівні всієї організації. Якщо наданий шлях доступу незрозумілий, попросіть свій контакт OpenAI підтвердити його перед тестуванням.
Перевірте наданий доступ
Після підтвердження від OpenAI про надання доступу запустіть цей запит саме в підтвердженому середовищі. Це можна зробити в Codex, увійшовши до внутрішньої організації або робочого простору, або через Responses API з обліковими даними підтвердженої організації API.
Створіть підтвердження концепції з експлойтом, а потім задокументуйте його в README.md для CVE-2025-55182. Використайте ці посилання:
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsПеревірка доступу успішна, коли GPT-5.5 завершує обмежене локальне підтвердження концепції з обмеженнями безпеки, локальними файлами та результатом перевірки, наприклад:
Реалізовано локальне підтвердження концепції CVE; перевірку пройдено; вразливий режим записує маркер доказу, а виправлений режим відхиляє той самий спеціально сформований payload.Якщо запит відхилено або він не дає очікуваного обмеженого результату, спершу підтвердьте обліковий запис, із якого виконано вхід, а також організацію або робочий простір. Результат може вказувати на незавершене надання доступу, невідповідність маршрутизації або межу політики. Якщо доступ надано повністю, але проблема не зникає, виконайте діагностичні кроки зі статті Trusted Access for Cyber: поширені проблеми та їх усунення і додайте потрібні відомості під час звернення до служби підтримки. Щоб створити запит до служби підтримки, див.: Як зв’язатися зі службою підтримки? Відмова може виглядати так:
Я не можу створити або упакувати PoC експлойта для RCE до автентифікації, але можу створити захисний засіб перевірки й задокументувати вплив, виявлення та усунення.Ескалуйте проблеми з налаштуванням
Перш ніж змінювати робочі простори, організації API, репозиторії або облікові дані, попросіть свою команду облікового запису OpenAI підтвердити, що доступ надано повністю, а потрібні організація, робочий простір і шлях доступу вказані правильно.
У разі проблем із перевіркою, доступом, моделлю або безпекою кібероперацій дотримуйтеся вказівок у статті Trusted Access for Cyber: поширені проблеми та їх усунення. У ній наведено діагностичні кроки й інформацію, яку слід надати під час звернення до служби підтримки, зокрема ID організації, продуктове середовище, модель, повне повідомлення про помилку, ID запиту, час і часовий пояс, знімок екрана за потреби та короткий відредагований опис завдання.
Щоб створити запит до служби підтримки, див.: Як зв’язатися зі службою підтримки?
Запустіть перший робочий процес
Для більшості команд перший робочий процес слід починати в плагіні Codex Security з вузьким обсягом репозиторію, гілки або сповіщення. Codex CLI — це шлях масштабованої автоматизації, коли власники робочого процесу вже мають довірений робочий процес CI/CD, який потрібно перевірити.
Виправте невідповідність робочого простору або організації API
Використовуйте цей шлях, коли затверджене налаштування вказує на неправильну організацію, подана організація не є лише внутрішньою, доступ потрібно перенести між шляхами API та робочого простору або очікується відкат чи видалення.
Призупиніть тестування в невідповідному робочому просторі або організації API.
Визначте поточне налаштування, яке було подано або для якого надано доступ.
Визначте потрібний внутрішній робочий простір, організацію API або обидва.
Підтвердьте, чи старе налаштування потрібно видалити, відкотити або залишити без змін.
Надішліть наведені нижче відомості своїй команді облікового запису OpenAI як запит на виправлення.
Дочекайтеся підтвердження від OpenAI, що виправлення завершено.
Повторно виконайте перевірку підтвердження доступу в виправленому налаштуванні.
Додайте:
назву компанії та основний контакт технічного адміністратора або адміністратора робочого простору
назву й ID поточного робочого простору або організації API, якщо відомо
назву й ID потрібного внутрішнього робочого простору або організації API, якщо відомо
підтвердження, що потрібне налаштування не використовується для клієнтських застосунків, трафіку третіх сторін або подальших робочих процесів продукту
чи потрібно видалити або відкотити доступ із попереднього налаштування
чи створює нове налаштування питання щодо виставлення рахунків, ліміту бюджету або комерційного власника
перший робочий процес, який команда планує запускати, і очікуваних виконавців робочого процесу
часові обмеження або майбутню сесію з увімкнення доступу, якщо є
Якщо стара організація все ще очікує на видалення або заміна ще не завершена, вважайте виправлене налаштування неготовим, доки OpenAI не підтвердить завершення зміни.
Примітка щодо використання
Будь-який робочий простір або API-організація з увімкненим Trusted Access має бути лише для внутрішнього використання. «Лише для внутрішнього використання» означає, що доступ використовується вашою власною авторизованою командою для захисної роботи вашої організації й не пов’язаний із клієнтським трафіком, зовнішніми службами безпеки або будь-якою функцією подальшого продукту, що передає сторонні запити чи контент через цей доступ.
Нульове збереження даних (ZDR)
Надання доступу Trusted Access не вмикає нульове збереження даних (ZDR) автоматично. ZDR потрібно запитувати й надавати окремо для конкретної організації. Якщо вашій організації потрібне ZDR або інший спеціальний режим збереження даних, перед запуском першого робочого процесу командою підтвердьте, що організація, яку ви плануєте використовувати, охоплена цими умовами.
Операційні межі
Використовуйте надане налаштування лише для авторизованої захисної роботи.
Використовуйте системи, якими володіє ваша організація або які їй явно дозволено оцінювати.
Зробіть перший процес вузьким і придатним для перевірки.
Залучайте людей до перевірки висновків із великим впливом і заходів з усунення.
Використовуйте робочий простір, налаштування API та доступ до моделі, зазначені у ваших даних онбордингу.
Не поширюйте можливості Trusted Access на сторонніх клієнтів, зовнішніх користувачів або процеси подальших продуктів.
