Tổng quan
Trusted Access for Cyber là mô hình quản trị cho OpenAI Daybreak. Mô hình này giúp khách hàng doanh nghiệp đủ điều kiện và các chuyên gia an ninh mạng sử dụng các mô hình OpenAI hiệu quả hơn cho công việc an ninh mạng được ủy quyền, đồng thời được thiết kế để hỗ trợ các quy trình bảo mật hợp pháp bằng cách giảm ma sát không cần thiết thông qua các biện pháp bảo vệ chính xác hơn. Các chính sách sử dụng, biện pháp bảo vệ khác và kiểm soát truy cập của OpenAI vẫn tiếp tục được áp dụng.
Trusted Access dành cho công việc an ninh mạng phòng thủ được ủy quyền trên các hệ thống, ứng dụng, tài khoản, mạng hoặc dữ liệu mà bạn sở hữu, vận hành hoặc được ủy quyền rõ ràng để kiểm thử hay phân tích.
Quy trình công việc của khách hàng thường thuộc ba danh mục:
Secure SDLC / AppSec: quét mã liên tục, quét môi trường kiểm thử, xác thực phát hiện bảo mật, tự động hóa bản vá bảo mật, rà soát mã an toàn và vá lỗi.
Hoạt động phòng thủ: blue teaming, mô hình hóa mối đe dọa, tình báo mối đe dọa, săn tìm mối đe dọa, phân tích phần mềm độc hại, kỹ thuật phát hiện, phân loại lỗ hổng và xác thực bản vá.
Kiểm thử tấn công được ủy quyền: kiểm thử xâm nhập, red teaming, xác thực hoặc phát triển khai thác, phân tích phần mềm độc hại, kỹ thuật đảo ngược và xác thực có kiểm soát trong môi trường được ủy quyền.
Bảng dưới đây mô tả các cấp độ truy cập đáng tin cậy hiện tại:
| Quyền truy cập | Điều gì thay đổi | Trường hợp sử dụng dự định |
|---|---|---|
| GPT-5.5 (mặc định) | Các biện pháp bảo vệ tiêu chuẩn cho mục đích sử dụng đa dụng | Các quy trình Secure SDLC và bảo mật ứng dụng, bao gồm mô hình hóa mối đe dọa, rà soát mã an toàn và vá lỗi, cũng như blue teaming tổng quát |
| GPT-5.5 với Trusted Access for Cyber | Các biện pháp bảo vệ chính xác hơn cho công việc phòng thủ đã được xác minh trong môi trường được ủy quyền | Phân loại và xác thực lỗ hổng, phân tích phần mềm độc hại, kỹ thuật phát hiện và xác thực bản vá |
| GPT-5.5-Cyber | Được xây dựng chuyên biệt cho các quy trình công việc được ủy quyền, đi kèm xác minh mạnh hơn và kiểm soát ở cấp tài khoản | Kiểm thử tấn công được ủy quyền, bao gồm red teaming, phát triển khai thác, kiểm thử xâm nhập và săn tìm mối đe dọa |
GPT-5.5 là một mô hình vượt trội cho các tác vụ mạng phổ biến, bao gồm rà soát mã an toàn, vá lỗi, mô hình hóa mối đe dọa và blue teaming tổng quát. Đối với hầu hết người phòng thủ, GPT-5.5 với Trusted Access for Cyber là cấp độ năng lực phù hợp khi các quy trình công việc đã được phê duyệt cần biện pháp bảo vệ chính xác hơn cho công việc phòng thủ được ủy quyền. Cấp độ truy cập này có thể xử lý phần lớn các quy trình công việc phòng thủ hợp pháp, đồng thời duy trì các thế mạnh rộng và tư thế an toàn của mô hình.
Quyền truy cập chuyên biệt hơn chỉ trở nên phù hợp khi các quy trình công việc được ủy quyền cần năng lực tấn công mạng. Điều này xảy ra với các quy trình công việc rủi ro cao hơn như red teaming, phát triển khai thác, phân tích phần mềm độc hại và kỹ thuật đảo ngược, khi người phòng thủ có thể cần vượt ra ngoài phân tích và xác thực khả năng khai thác trong môi trường được kiểm soát. GPT-5.5-Cyber được thiết kế để hỗ trợ các quy trình công việc lưỡng dụng chuyên biệt hơn này.
Tìm hiểu thêm trong Mở rộng Trusted Access for Cyber với GPT-5.5 và GPT-5.5-Cyber
Giới hạn
Trusted Access for Cyber không:
Loại bỏ tất cả biện pháp bảo vệ hoặc mọi trường hợp từ chối.
Đảm bảo quyền truy cập vào mọi mô hình chuyên biệt về an ninh mạng.
Cấp chế độ không lưu giữ dữ liệu theo mặc định.
Cho phép bán lại, dùng làm proxy, nhúng hoặc cấp quyền truy cập hạ nguồn cho khách hàng bên thứ ba hoặc người dùng bên ngoài.
Cho phép hoạt động ngoài các hệ thống mà bạn sở hữu hoặc được cho phép rõ ràng để kiểm thử.
Quyền truy cập chỉ dành cho người dùng nội bộ đã được phê duyệt và các quy trình công việc nội bộ đã được phê duyệt. Tổ chức hoặc không gian làm việc dùng cho Trusted Access nên được dành riêng cho công việc bảo mật nội bộ và không nên đồng thời vận hành các ứng dụng hướng tới khách hàng, lưu lượng sản phẩm hạ nguồn hoặc quyền truy cập của bên thứ ba.
Đăng ký Trusted Access for Cyber
Để yêu cầu Trusted Access for Cyber:
Trong quá trình xem xét, bạn có thể được yêu cầu cung cấp thông tin về:
Tổ chức của bạn và năng lực an ninh mạng.
Các quy trình công việc an ninh mạng phòng thủ mà bạn muốn hỗ trợ.
Tổ chức OpenAI hoặc không gian làm việc mà bạn dự kiến sử dụng.
Thông tin xác minh hoặc độ tin cậy cần thiết để đánh giá tư cách đủ điều kiện.
OpenAI xem xét các yêu cầu trước khi bật quyền truy cập. Việc phê duyệt không diễn ra tự động.
Các lợi ích có sẵn qua Trusted Access for Cyber phụ thuộc vào quyền truy cập được phê duyệt cho yêu cầu của bạn, mà OpenAI đánh giá dựa trên các yếu tố như xác minh danh tính và độ tin cậy, cân nhắc rủi ro, trường hợp sử dụng dự định và khả năng của người đăng ký trong việc củng cố hệ sinh thái an ninh mạng rộng hơn.
Sử dụng Trusted Access một cách có trách nhiệm
Bạn chịu trách nhiệm đảm bảo rằng việc sử dụng của mình luôn nằm trong phạm vi được phê duyệt và tuân thủ các điều khoản của OpenAI cũng như chính sách sử dụng.
Nếu được phê duyệt, hãy chỉ sử dụng Trusted Access cho công việc an ninh mạng hợp pháp, được ủy quyền, và bạn phải đồng ý với Chính sách lạm dụng mạng của chúng tôi: chúng tôi không cho phép sử dụng dịch vụ của mình để tạo điều kiện cho hành vi lạm dụng mạng: xâm phạm tính toàn vẹn, bảo mật hoặc khả dụng của hệ thống thông tin—bao gồm cả các hoạt động mạng “lưỡng dụng” được thực hiện với ý định xấu, không có ủy quyền phù hợp hoặc vượt quá phạm vi ủy quyền đã cấp.
Bạn cũng nên đảm bảo rằng tổ chức hoặc không gian làm việc dùng cho Trusted Access phù hợp với công việc bảo mật nội bộ. Nếu cùng một tổ chức vận hành lưu lượng hướng tới khách hàng hoặc quy trình sản phẩm hạ nguồn, hãy làm việc với đầu mối liên hệ OpenAI của bạn trước khi đăng ký. Trusted Access for Cyber không được mở rộng cho khách hàng bên thứ ba, người dùng bên ngoài, quy trình công việc hướng tới khách hàng hoặc lưu lượng sản phẩm hạ nguồn.
Khắc phục sự cố
Đọc: Trusted Access for Cyber - Các vấn đề thường gặp và cách khắc phục
Câu hỏi thường gặp
Điều gì thay đổi sau khi được phê duyệt?
Khách hàng được phê duyệt có thể sử dụng GPT-5.5 cho các quy trình công việc an ninh mạng đủ điều kiện, tùy theo cấp độ truy cập. Trusted Access for Cyber có thể giảm ma sát không cần thiết cho công việc phòng thủ đã được phê duyệt trong các quy trình Secure SDLC / AppSec, hoạt động phòng thủ và kiểm thử tấn công được ủy quyền. Các biện pháp bảo vệ và kiểm soát theo chính sách sử dụng khác vẫn được áp dụng.
Việc phê duyệt có bao gồm GPT-5.5-Cyber không?
Không tự động. Trusted Access for Cyber có thể hỗ trợ nhiều quy trình công việc an ninh mạng phòng thủ với GPT-5.5. GPT-5.5-Cyber dành cho một nhóm hẹp hơn gồm các quy trình công việc chuyên biệt được ủy quyền, chẳng hạn như red teaming và xác thực hoặc phát triển khai thác, và có thể cần phê duyệt cùng các biện pháp kiểm soát bổ sung.
Tôi có thể dùng Trusted Access cho khách hàng hoặc người dùng bên ngoài của mình không?
Không. Trusted Access chỉ dành cho mục đích sử dụng nội bộ đã được phê duyệt. Không được mở rộng quyền này cho khách hàng bên thứ ba, người dùng bên ngoài, quy trình công việc hướng tới khách hàng hoặc lưu lượng sản phẩm hạ nguồn.
Trusted Access có bao gồm chế độ không lưu giữ dữ liệu không?
Không. Trusted Access và chế độ không lưu giữ dữ liệu là riêng biệt. Nếu bạn cần hướng dẫn về việc lưu giữ dữ liệu hoặc thiết lập tổ chức, vui lòng làm việc với đầu mối liên hệ OpenAI của bạn.
Tôi có thể dùng Trusted Access cho các hệ thống không thuộc sở hữu của mình không?
Chỉ khi bạn được ủy quyền rõ ràng để kiểm thử hoặc phân tích các hệ thống đó. Bạn không được phép chia sẻ hoặc bán quyền truy cập TAC cho bên thứ ba, hoặc dùng TAC để kiểm thử các hệ thống mà bạn không sở hữu hoặc không có ủy quyền rõ ràng để kiểm thử hay phân tích.
Có thể sử dụng GPT-5.5 với Trusted Access for Cyber bên ngoài Codex không?
Có. Trusted Access không bị giới hạn trong Codex. Nếu đường dẫn truy cập được phê duyệt của bạn hỗ trợ, bạn có thể dùng GPT-5.5 với Trusted Access for Cyber trong các pipeline CI/CD và công cụ bảo mật nội bộ khác, miễn là việc sử dụng vẫn nằm trong phạm vi phòng thủ được phê duyệt và ủy quyền của bạn.
Chúng tôi nên thiết lập Trusted Access như thế nào nếu tổ chức OpenAI hiện tại đang phục vụ lưu lượng API hướng tới khách hàng?
Hãy sử dụng một tổ chức hoặc không gian làm việc dành riêng cho công việc bảo mật nội bộ đã được phê duyệt. Không nên bật Trusted Access trên một tổ chức vận hành các ứng dụng hướng tới khách hàng, quyền truy cập của bên thứ ba hoặc lưu lượng sản phẩm hạ nguồn. Hãy làm việc với đầu mối liên hệ OpenAI của bạn về cách thiết lập phù hợp trước khi đăng ký hoặc bật quyền truy cập.
Hợp đồng hoặc giao dịch mua có thể đảm bảo quyền truy cập GPT-5.5-Cyber không?
Không. Quyền truy cập GPT-5.5-Cyber có giới hạn và dựa trên phê duyệt. Chỉ riêng thỏa thuận thương mại hoặc giao dịch mua không đảm bảo quyền truy cập. Nếu yêu cầu của bạn được phê duyệt, OpenAI sẽ xác nhận đường dẫn truy cập hiện có và mọi điều khoản áp dụng.
Tôi nên kiểm tra gì nếu vẫn thấy thông báo an toàn mạng sau khi được phê duyệt?
Hãy xác nhận rằng bạn đang sử dụng đúng tổ chức hoặc không gian làm việc được phê duyệt, mô hình hoặc đường dẫn truy cập được phê duyệt và bề mặt sản phẩm dự định. Một số biện pháp bảo vệ vẫn có thể áp dụng sau khi phê duyệt. Nếu một yêu cầu rõ ràng mang tính phòng thủ có vẻ bị chặn ngoài dự kiến, hãy liên hệ với bộ phận Hỗ trợ kèm thông báo chính xác, mô hình, bề mặt sản phẩm, dấu thời gian, ID yêu cầu nếu có và mô tả ngắn gọn đã lược bỏ thông tin nhạy cảm về tác vụ. Đọc thêm: Trusted Access for Cyber - Các vấn đề thường gặp và cách khắc phục
Làm thế nào để một tổ chức giới hạn Trusted Access cho đúng nhân viên?
Trusted Access chỉ nên được cung cấp cho người dùng nội bộ đã được phê duyệt đang làm các nhiệm vụ bảo mật được ủy quyền. Nếu bạn cần giới hạn quyền truy cập, hãy làm việc với đầu mối liên hệ OpenAI của bạn để thiết lập một tổ chức hoặc không gian làm việc chỉ dành cho nội bộ và chỉ cấp quyền cho những người dùng phù hợp.
