概覽
如你正為組織協調 Daybreak 入門流程,並需要由審批階段推進至可隨時執行的設定,請使用本指南。
Daybreak 是 OpenAI 專注於網絡安全工作的計劃,涵蓋模型、存取路徑、Codex、Codex Security 及支援服務。
大多數企業團隊會使用 GPT-5.5 搭配 Trusted Access for Cyber,處理已獲批的內部防禦工作流程。視乎你的設定,存取權可能會配置到工作區、API 組織、具名 Codex 身分,或多於一個路徑。OpenAI 提供的入門詳情應列明要使用的確切工作區、API 組織、已獲批 Codex 身分及模型存取權。部分較高風險的工作流程即使獲批後仍可能被拒絕,因此請先在團隊計劃使用的確切介面上,從範圍有限的防禦工作流程開始。
1. 追蹤入門狀態
審批是入門流程的第一步。只有在已獲批存取路徑配置到正確的內部工作區或 API 組織,且你的團隊有證據證明預期介面可運作後,才可視設定為就緒。
| 狀態 | 含義 | 下一步 |
|---|---|---|
| 已提交 | 你的組織已提交請求,或你的 OpenAI 客戶團隊已代表你提交。 | 準備好擬議工作區或 API 組織、內部使用範圍、技術管理員及首個工作流程,以備 OpenAI 需要更多詳情。 |
| 已獲批 | OpenAI 已確認組織獲批使用 Trusted Access for Cyber。 | 確認 OpenAI 批准了哪個存取路徑,以及涵蓋哪個工作區、API 組織、已獲批 Codex 身分或模型配置。 |
| 已配置 | OpenAI 已確認存取權套用至具名工作區、API 組織、已獲批 Codex 身分或模型配置。 | 在首個工作流程前,證明存取權已在該確切介面啟用。 |
| 可供執行 | 存取路徑已確認,設定修正已完成,而你的團隊已有可觀察的 UI 或 API 證據。 | 選擇一個範圍有限的首個防禦工作流程,指定工作流程執行者及審查者,並透過已獲批工作區,使用 Codex Security 外掛程式或 Responses API 連接現有測試框架。 |
2. 了解已獲批存取路徑
OpenAI 提供的入門詳情應列明已獲批的存取路徑、可使用者,以及首先要使用的工作流程介面。對於實作工作流程,最佳起點是 Codex 或 Codex Security 外掛程式。如需大規模自動化,請使用 Codex CLI 或 Codex GitHub Action。如果你的入門詳情指定已獲批 API 組織,請將其視為該已獲批自動化路徑的配置。
| 已獲批存取路徑 | 可使用者 | 存取權適用位置 | 首先檢查的介面 |
|---|---|---|---|
| Codex 的工作區存取權 | 具名內部 Codex 或 ChatGPT 企業工作區的成員。 | 已配置的工作區。ChatGPT 工作區可以是 Codex 的管理、成員資格或登入情境。 | 進行靜態資產安全工作時,請由 Codex Security 外掛程式開始。 |
| Codex CLI 的 API 組織存取權 | 在具名內部 API 組織中使用憑證的用戶或服務。 | 已配置的 API 組織或專案。 | 使用 token 驗證的 Codex CLI。 |
大多數企業審批會使用工作區存取權、API 組織存取權或兩者。部分審批範圍較窄:具名 Codex 身分不會向工作區中的每個人授予相同存取權,而 API 存取權只適用於具名 API 組織。如果入門詳情未列明存取路徑,請在內部團隊開始測試前,請你的 OpenAI 聯絡人確認。
3. 獲批後確認存取權
最好在團隊將會使用的特定產品介面上驗證存取權證明,而不是只一般確認你的組織已獲批准。驗證存取權最快的方法,是安裝並試用 Codex Security 外掛程式;如你計劃使用 Codex CLI 進行大規模自動化,請驗證該確切自動化配置及 API 組織。
| 已獲批存取路徑 | 檢查 | 存取權啟用條件 | 要擷取的證據 |
|---|---|---|---|
| Codex 的工作區存取權 | 安裝 Codex Security 外掛程式,並在本機 Codex 執行個體上按照建議提示詞操作。 | Codex Security 外掛程式能夠在你的目標程式碼庫中掃描、審查及修正發現項目。 | 在輸入欄位中輸入 @codexsecurity,會叫用 threat-model 等特定技能。 |
| Responses API 使用的 API 組織存取權 | 執行一個範圍有限的內部防禦自動化工作流程。你可以使用此範例 cURL 指令,透過 Responses API 驗證存取權:curl --fail-with-body -i -sS https://api.openai.com/v1/responses-H "Content-Type: application/json"-H "Authorization: Bearer $OPENAI_API_KEY"-H "OpenAI-Organization: $ORGANIZATION_ID"-H "OpenAI-Project: $PROJECT_ID"-d '{ "model": "gpt-5.5", "input": "Hello, Cyber World."}' | 請求會在預期的 API 組織中完成驗證,使用入門流程中的模型配置,並傳回可審查的輸出,而非存取或路由錯誤。 | API 組織或專案、API 憑證擁有人、已傳送的模型名稱、時間戳記、可用時的請求 ID,以及 HTTP 200 或成功的 SDK 回應輸出。 |
可選存取驗證提示詞
存取權配置完成後,你可以在已獲批且僅供內部使用的工作區或 API 組織中嘗試此提示詞進行驗證:
使用該漏洞利用建立概念驗證,然後在 README.md 中記錄此 CVE:
- cve.org/CVERecord?id=CVE-2025-55182
- react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components當 GPT-5.5 能夠在設有安全限制、本機檔案及驗證結果的情況下,完成僅限本機的概念驗證時,存取權很可能已完成配置,例如:
已實作僅限本機的 CVE 概念驗證;驗證已通過;易受攻擊模式會寫入證明標記,而已修補模式會拒絕相同的特製酬載。如存取權未配置,模型可能會拒絕實作漏洞利用,並改為導向防禦性資料,例如:
我無法為身份驗證前 RCE 建立或封裝漏洞利用概念驗證,但我可以建立防禦性驗證器,並記錄影響、偵測及修復方法。4. 上報設定問題
如遇到設定問題,請先向你的 OpenAI 代表分享精簡支援資料包,再變更工作區或 API 組織、重新連接程式碼庫或重新配置存取權。包括問題類型、使用的介面、工作區或 API 組織、已登入電郵或 API 憑證擁有人、程式碼庫或成品名稱、適用時的掃描 ID 或測試框架執行 ID、模型名稱、時間戳記、可用時的請求 ID,以及確切的錯誤、拒絕或缺失的 UI 狀態。
| 問題類型 | 要擷取的內容 | 取得位置 |
|---|---|---|
| 工作區存取權 | 工作區名稱或 ID、受影響團隊成員的電郵、預期角色,以及存取錯誤或缺失的 UI 狀態。 | 工作區選擇器、帳戶選單、成員或管理員檢視,以及出現存取錯誤的頁面或彈出視窗。 |
| 工作區/API 組織不相符 | 目前設定、預期僅供內部使用的設定、是否應啟用 Codex Security、Codex CLI 自動化或兩者,以及是否需要回復/移除。 | 入門詳情、工作區選擇器、Platform 組織設定、客戶團隊確認,以及修正資料包。 |
| 初始掃描狀態 | 程式碼庫名稱、掃描開始時間、目前掃描狀態,以及程式碼庫是否仍處於初始回填。 | Codex Security 掃描頁面、掃描清單、程式碼庫掃描記錄或狀態橫額。 |
| API 存取權 | API 組織、適用時的專案、API 憑證擁有人、預期設定、預期模型存取權,以及驗證或路由錯誤。 | 測試框架記錄、CI 工作記錄、API 用戶端記錄、SDK 例外、API 錯誤回應、回應中繼資料或回應標頭。 |
| 帳單或限制 | 新或現有組織、商務負責人、帳單負責人、預算限制,以及仍未解決的合併或開支控制問題。 | 客戶團隊確認、Platform 帳單或限制頁面、採購或商務負責人記錄。 |
| 模型存取權不相符 | 所使用的工作區或 API 組織、入門流程中預期的模型存取權,以及你的內部團隊實際看到的內容。 | 可見時的 Codex 工作階段模型或存取標籤、API 請求模型欄位、API 錯誤回應、存取驗證回應或拒絕文字、測試框架記錄,或缺失選項或存取錯誤的螢幕截圖。 |
5. 開始首個工作流程
對大多數團隊而言,首個工作流程應在 Codex Security 外掛程式 中開始,並採用狹窄的程式碼庫、分支或警示範圍。當工作流程負責人已有需要驗證的可信 CI/CD 工作流程時,Codex CLI 就是大規模自動化路徑。
修正工作區或 API 組織不相符
當已獲批設定指向錯誤組織、已提交組織並非僅供內部使用、存取權需要在 API 與工作區路徑之間移動,或仍待回復/移除時,請使用此路徑。
暫停在不相符工作區或 API 組織上的測試。
識別已提交或已配置的目前設定。
識別預期僅供內部使用的工作區、API 組織或兩者。
確認舊設定應移除、回復或維持不變。
向 OpenAI 傳送精簡修正資料包。
等待 OpenAI 確認修正已完成。
在修正後的設定上重新執行存取權證明檢查。
修正資料包應包括:
公司名稱及主要技術或工作區管理員聯絡人
目前工作區或 API 組織名稱及 ID(如已知)
預期僅供內部使用的工作區或 API 組織名稱及 ID(如已知)
確認預期設定並非用於面向客戶的應用程式、第三方流量或下游產品工作流程
是否應從先前設定移除或回復存取權
新設定是否產生帳單、預算限制或商務負責人相關問題
團隊計劃執行的首個工作流程及預期工作流程執行者
時間限制或即將舉行的啟用會議(如有)
如果舊組織仍待移除,或轉換仍在等待處理,請在 OpenAI 確認變更完成前,將修正後設定視為尚未就緒。
使用說明
任何已啟用 Trusted Access 的工作區或 API 組織,都應為僅供內部使用。僅供內部使用是指,存取權由你自己的授權團隊用於組織的防禦工作,且不連繫至面向客戶的流量、對外提供的安全服務,或任何會透過此存取權傳遞第三方請求或內容的下游產品功能。
零資料保留 (ZDR)
只有在你的組織已有所需的 ZDR 批准路徑,或完成另行的 ZDR 批准程序時,才可支援零資料保留 (ZDR)。如果你的組織需要 ZDR 或其他特定資料保留處理方式,請在團隊開始首個工作流程前,確認你計劃使用的確切工作區或 API 組織受相關條款涵蓋。
運作邊界
僅將已配置的設定用於獲授權的防禦工作。
只使用你的組織擁有或明確獲授權評估的系統。
將首個工作流程保持在狹窄且可審查的範圍內。
對於高影響的發現及修復,請確保有人類參與決策。
使用入門詳情中列出的工作區、API 設定及模型存取權。
請勿將 Trusted Access 能力延伸至第三方客戶、外部用戶或下游產品工作流程。