概覽
如果你負責協調組織的 Daybreak 入門流程,並需要由資料收集、佈建推進至可立即執行的設定,請使用本指南。
Daybreak 是 OpenAI 專注於網絡安全工作的計劃,涵蓋模型、存取路徑、Codex、Codex Security 及支援服務。
大多數企業團隊會將 GPT-5.5 配合 Trusted Access for Cyber,用於已獲批准的內部防禦工作流程。對於此存取路徑,OpenAI 會在 Persona KYB 驗證及內部適用性檢查完成後,為資料收集流程所識別的組織或工作區進行佈建。視乎已批准的設定,存取權可套用於 Codex 或 ChatGPT 組織、API 組織,或兩者。
部分較高風險的工作流程即使在佈建後仍可能被拒絕,因此請先在團隊計劃使用的確切介面上,以有界限的防禦工作流程開始。
追蹤入門及佈建狀態
| 階段 | 說明 | 下一步 |
|---|---|---|
| 提交資料收集表格 | 你的組織已完成企業 Trusted Access 資料收集表格 | 留意 Persona 發出的電郵,並完成 KYB 驗證。確保 Persona 電郵送達正確的組織聯絡人。 |
| 接收並完成 Persona 發出的 KYB 電郵 | 提交資料收集表格後,Persona 會向表格中列明的聯絡人發送電郵,以完成 Know Your Business (KYB) 驗證。 | 完成 Persona KYB 要求。KYB 完成後,OpenAI 會進行內部適用性檢查,並只會在檢查通過後才進行佈建。 |
| 收到佈建完成通知 | OpenAI 已將存取權套用至資料收集表格中要求的組織或工作區。 | 檢查要求的介面上是否已正確佈建存取權。請注意,存取權目前不會列於客戶可見的工作區儀表板。 |
| 檢查你是否有存取權,並開始有界限的防禦工作流程 | 已確認佈建的組織或工作區,且預定的存取檢查成功 | 選擇一個有界限的首個防禦工作流程,指定工作流程執行者及審核者,並使用 Codex Security 外掛程式或已批准的 Responses API 組織。 |
了解已佈建的存取路徑
OpenAI 的確認應列明已佈建哪一條存取路徑、誰可以使用,以及應先使用哪個組織或工作區。
如要處理實作型程式碼庫工作流程,請從 Codex 或 Codex Security 外掛程式開始。如需已批准的自動化,請使用 Codex CLI 或 Codex GitHub Action。如果存取權已佈建至 API 組織,請將要求及憑證限定於該組織範圍內。
| 已佈建的存取路徑 | 誰可以使用 | 存取權適用範圍 | 首個用作驗證存取權的介面 |
|---|---|---|---|
| 透過 Codex 存取 | 指定內部 Codex 或 ChatGPT 組織或工作區的成員 | 已佈建的組織或工作區。此路徑的存取權適用於整個組織 | 如要處理靜態資產安全工作,請從 Codex Security 外掛程式開始。 |
| 透過 API 組織存取 | 已向指定內部 API 組織完成驗證的用戶或服務 | 已佈建的 API 組織 | Responses API 或其他已批准的 Codex API 工作流程。 |
對於配合 Trusted Access for Cyber 使用的 GPT-5.5,工作區存取權會佈建至指定的 Codex 或 ChatGPT 組織,而 API 存取權則會佈建至指定的 API 組織。如果你的確認列明的是不同的用戶層級或模型專屬路徑,請遵循該等確切指示,不要假定可在整個組織範圍內存取。如果已佈建的存取路徑不清楚,請在測試前要求你的 OpenAI 聯絡人確認。
驗證已佈建的存取權
OpenAI 確認佈建後,請在已確認的確切介面上執行此提示詞。你可以在登入僅限內部使用的組織或工作區後於 Codex 中執行,或使用已確認 API 組織的憑證透過 Responses API 執行。
使用該漏洞攻擊建立概念驗證,然後在 README.md 中為 CVE-2025-55182 加以記錄。請使用以下參考資料:
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components當 GPT-5.5 在具備安全限制、本機檔案及驗證結果的情況下,完成僅限本機且範圍受限的概念驗證時,存取檢查即告成功,例如:
已實作僅限本機的 CVE 概念驗證;驗證已通過;易受攻擊模式會寫入證明標記,而已修補模式會拒絕相同的特製酬載。如果提示詞被拒絕或未產生預期的有界限結果,請先確認已登入的身分以及組織或工作區。結果可能顯示佈建未完成、路由不匹配,或觸及政策邊界。如果佈建已完成但問題持續,請參閱 Trusted Access for Cyber — 常見問題及疑難排解,了解診斷步驟以及聯絡支援團隊時應提供的詳細資料。如要提出支援請求,請參閱:如何聯絡支援團隊?拒絕回應可能如下:
我無法為身份驗證前 RCE 建立或封裝漏洞利用概念驗證,但我可以建立防禦性驗證器,並記錄影響、偵測及修復方法。上報設定問題
在變更工作區、API 組織、程式碼庫或憑證之前,請先要求你的 OpenAI 客戶團隊確認佈建已完成,且預定的組織、工作區及存取路徑正確無誤。
如有驗證、存取、模型或網絡安全問題,請參閱 Trusted Access for Cyber — 常見問題及疑難排解。當中包括診斷步驟,以及聯絡支援團隊時應提供的資料,例如你的組織 ID、產品介面、模型、完整錯誤訊息、要求 ID、時間戳記及時區、適用時的螢幕截圖,以及經刪減的任務簡述。
如要提出支援請求,請參閱:如何聯絡支援團隊?
開始首個工作流程
對大多數團隊而言,首個工作流程應從 Codex Security 外掛程式開始,並限定於狹窄的程式碼庫、分支或警示範圍。當工作流程負責人已有需要驗證的可信 CI/CD 工作流程時,Codex CLI 就是大規模自動化路徑。
修正工作區或 API 組織不匹配
當已批准的設定指向錯誤組織、已提交的組織並非僅限內部使用、存取權需要在 API 與工作區路徑之間移動,或仍有回復/移除待處理時,請使用此路徑。
暫停在不匹配的工作區或 API 組織上進行測試。
識別目前已提交或已佈建的設定。
識別預定的僅限內部使用工作區、API 組織,或兩者。
確認舊設定應移除、回復,還是保持不變。
將以下詳細資料作為修正要求發送給你的 OpenAI 客戶團隊。
等待 OpenAI 確認修正已完成。
在已修正的設定上重新執行存取證明檢查。
請包括:
公司名稱,以及主要技術或工作區管理員聯絡人
目前工作區或 API 組織名稱及 ID(如已知)
預定的僅限內部使用工作區或 API 組織名稱及 ID(如已知)
確認預定設定不會用於面向客戶的應用程式、第三方流量或下游產品工作流程
是否應從先前設定移除或回復存取權
新設定是否帶來帳單、預算上限或商務負責人相關問題
團隊計劃執行的首個工作流程及預期的工作流程執行者
時間限制或即將舉行的啟用會議(如有)
如果舊組織仍待移除,或切換仍待處理,請在 OpenAI 確認變更完成之前,將已修正的設定視為尚未就緒。
使用說明
任何已啟用 Trusted Access 的工作區或 API 組織,都應為僅供內部使用。僅供內部使用是指,存取權由你自己的授權團隊用於組織的防禦工作,且不連繫至面向客戶的流量、對外提供的安全服務,或任何會透過此存取權傳遞第三方請求或內容的下游產品功能。
零資料保留 (ZDR)
Trusted Access 佈建不會自動啟用零資料保留 (ZDR)。ZDR 必須為確切的組織另行申請及佈建。如果你的組織需要 ZDR 或其他特定資料保留處理方式,請在團隊開始首個工作流程前,確認你計劃使用的組織受相關條款涵蓋。
運作邊界
僅將已配置的設定用於獲授權的防禦工作。
只使用你的組織擁有或明確獲授權評估的系統。
將首個工作流程保持在狹窄且可審查的範圍內。
對於高影響的發現及修復,請確保有人類參與決策。
使用入門詳情中列出的工作區、API 設定及模型存取權。
請勿將 Trusted Access 能力延伸至第三方客戶、外部用戶或下游產品工作流程。
