概覽
網絡安全可信存取是 OpenAI Daybreak 的治理模型。它協助合資格的企業客戶和網絡安全從業員,更有效地將 OpenAI 模型用於獲授權的網絡安全工作,並透過更精準的安全防護措施減少不必要的阻力,以支援合法的安全工作流程。OpenAI 的使用政策、其他安全防護措施及存取控制仍然適用。
可信存取旨在用於你擁有、營運或明確獲授權測試或分析的系統、應用程式、帳戶、網絡或資料上的獲授權防禦性網絡安全工作。
客戶工作流程一般分為三類:
Secure SDLC / AppSec:持續程式碼掃描、測試環境掃描、安全發現驗證、安全修補自動化、安全程式碼審查及修補。
防禦性營運:藍隊、威脅建模、威脅情報、威脅搜尋、惡意軟件分析、偵測工程、漏洞分流及修補驗證。
獲授權的攻擊性測試:滲透測試、紅隊測試、漏洞利用驗證或開發、惡意軟件分析、逆向工程,以及在獲授權環境中的受控驗證。
下表說明目前的可信存取級別:
| 存取權限 | 變更內容 | 預期使用案例 |
|---|---|---|
| GPT-5.5(預設) | 適用於一般用途的標準安全防護措施 | Secure SDLC 和應用程式安全工作流程,包括威脅建模、安全程式碼審查及修補,以及一般化藍隊工作 |
| 具備網絡安全可信存取的 GPT-5.5 | 為獲授權環境中已驗證的防禦性工作提供更精準的安全防護措施 | 漏洞分流與驗證、惡意軟件分析、偵測工程及修補驗證 |
| GPT-5.5-Cyber | 專為專門的授權工作流程而設,並配合更嚴格的驗證和帳戶層級控制 | 獲授權的攻擊性測試,包括紅隊測試、漏洞利用開發、滲透測試及威脅搜尋 |
GPT-5.5 是處理常見網絡安全任務的卓越模型,包括安全程式碼審查、修補、威脅建模及一般化藍隊工作。對大多數防禦人員而言,當已獲批准的工作流程需要更精準的安全防護措施以支援獲授權的防禦性工作時,具備網絡安全可信存取的 GPT-5.5 是合適的能力級別。此存取級別可處理絕大多數合法防禦性工作流程,同時保留模型的廣泛優勢和安全態勢。
只有在獲授權工作流程需要攻擊性網絡能力時,更專門的存取權限才會相關。這會出現在風險較高的工作流程中,例如紅隊測試、漏洞利用開發、惡意軟件分析和逆向工程;在這些情況下,防禦人員可能需要超越分析,在受控環境中驗證可利用性。GPT-5.5-Cyber 旨在促成這些更專門的雙重用途工作流程。
在透過 GPT-5.5 和 GPT-5.5-Cyber 擴展網絡安全可信存取了解更多
限制
網絡安全可信存取不會:
移除所有安全防護措施或所有拒絕回應。
保證可存取每個網絡安全專用模型。
預設授予零資料保留。
允許向第三方客戶或外部用戶轉售、代理、嵌入或提供下游存取。
授權在你擁有或明確獲准測試的系統以外進行活動。
存取權限僅供已獲批准的內部用戶和已獲批准的內部工作流程使用。用於網絡安全可信存取的組織或工作區應保留作內部安全工作用途,不應同時用於支援面向客戶的應用程式、下游產品流量或第三方存取。
申請網絡安全可信存取
如要申請網絡安全可信存取:
在審核過程中,你可能需要提供以下資料:
你的組織和網絡安全能力。
你想支援的防禦性網絡安全工作流程。
你預期使用的 OpenAI 組織或工作區。
評估資格所需的驗證或信任資料。
OpenAI 會先審核申請,然後才啟用存取權限。批准並非自動授予。
透過網絡安全可信存取可獲得的權益,取決於你的申請獲批准的存取權限;OpenAI 會根據身份和信任驗證、風險考量、預期使用案例,以及申請者加強更廣泛網絡安全生態系統的能力等因素進行評估。
負責任地使用可信存取
你有責任確保自己的使用保持在已批准範圍內,並遵守 OpenAI 的條款及使用政策。
如果你獲得批准,僅可將可信存取用於合法且獲授權的網絡安全工作,並且必須同意我們的《網絡濫用政策》:我們不允許使用我們的服務促成網絡濫用,即破壞資訊系統的完整性、機密性或可用性,包括以惡意意圖、未經適當授權或超出已授權範圍而進行的「雙重用途」網絡活動。
你亦應確保用於可信存取的組織或工作區適合內部安全工作。如果同一組織支援面向客戶的流量或下游產品工作流程,請在申請前與你的 OpenAI 聯絡人合作處理。網絡安全可信存取不得延伸至第三方客戶、外部用戶、面向客戶的工作流程或下游產品流量。
疑難排解
常見問題
獲批准後會有甚麼變更?
已獲批准的客戶可視乎存取級別,將 GPT-5.5 用於合資格的網絡安全工作流程。網絡安全可信存取可在 Secure SDLC / AppSec、防禦性營運及獲授權的攻擊性測試工作流程中,為已獲批准的防禦性工作減少不必要的阻力。其他安全防護措施和使用政策控制仍然適用。
批准是否包括 GPT-5.5-Cyber?
不會自動包括。網絡安全可信存取可透過 GPT-5.5 支援多種防禦性網絡安全工作流程。GPT-5.5-Cyber 旨在支援範圍較窄的專門授權工作流程,例如紅隊測試,以及漏洞利用驗證或開發,並可能需要額外批准和控制。
我可以為我的客戶或外部用戶使用可信存取嗎?
不可以。可信存取僅供已獲批准的內部用途。不得延伸至第三方客戶、外部用戶、面向客戶的工作流程或下游產品流量。
可信存取是否包括零資料保留?
不包括。可信存取和零資料保留是分開的。如果你需要有關資料保留或組織設定的指引,請與你的 OpenAI 聯絡人合作處理。
我可以將可信存取用於我並不擁有的系統嗎?
只有在你明確獲授權測試或分析這些系統時才可以。你不得與第三方分享或向其出售 TAC 存取權限,亦不得使用 TAC 測試你並不擁有,或你未明確獲授權測試或分析的系統。
具備網絡安全可信存取的 GPT-5.5 可否在 Codex 以外使用?
可以。可信存取不限於 Codex。如果你獲批准的存取路徑支援,你可在 CI/CD 管道和其他內部安全工具中使用具備網絡安全可信存取的 GPT-5.5,只要使用保持在已批准且獲授權的防禦性範圍內。
如果我們目前的 OpenAI 組織處理面向客戶的 API 流量,應如何設定可信存取?
使用專為已獲批准的內部安全工作保留的組織或工作區。不應在支援面向客戶應用程式、第三方存取或下游產品流量的組織上啟用可信存取。請在申請或啟用存取權限前,與你的 OpenAI 聯絡人合作安排合適設定。
合約或購買能否保證取得 GPT-5.5-Cyber 存取權限?
不能。GPT-5.5-Cyber 存取權限有限,並以批准為基礎。單憑商業協議或購買並不保證可獲得存取權限。如果你的申請獲批准,OpenAI 將確認可用的存取路徑及任何適用條款。
如果獲批准後仍看到網絡安全訊息,我應檢查甚麼?
確認你正在使用已批准的組織或工作區、已批准的模型或存取路徑,以及預期的產品介面。部分安全防護措施在批准後仍可能適用。如果明顯屬防禦性的請求似乎意外被阻擋,請聯絡支援團隊,並提供確切訊息、模型、產品介面、時間戳、請求 ID(如有),以及任務的簡短已遮蔽描述。閱讀更多:網絡安全可信存取:常見問題及疑難排解
組織如何將可信存取限制予合適員工?
可信存取應只提供予從事獲授權安全任務的已獲批准內部用戶。如果你需要限制存取,請與你的 OpenAI 聯絡人合作設定僅供內部使用的組織或工作區,並只為合適用戶開通權限。