概覽
如果你正在為組織協調 Daybreak 到職導入,並且需要從受理申請、佈建一路推進到可立即執行的設定,請使用本指南。
Daybreak 是 OpenAI 專注於網路安全工作的計畫,涵蓋模型、存取路徑、Codex、Codex Security 與支援服務。
多數企業團隊會將 GPT-5.5 搭配 Trusted Access for Cyber,用於已核准的內部防禦工作流程。對於此存取路徑,OpenAI 會在 Persona KYB 驗證與內部適用性檢查完成後,為受理流程中識別出的組織或工作區佈建。存取權可能套用至 Codex 或 ChatGPT 組織、API 組織,或兩者皆有,視核准的設定而定。
部分較高風險的工作流程即使在佈建後仍可能遭拒,因此請先在團隊預計使用的確切介面上,從受限的防禦工作流程開始。
追蹤到職導入與佈建狀態
| 階段 | 說明 | 接下來要做什麼 |
|---|---|---|
| 提交受理表單 | 你的組織已完成企業 Trusted Access 受理表單 | 留意 Persona 寄來的電子郵件並完成 KYB 驗證。請確認 Persona 電子郵件送達正確的組織聯絡人。 |
| 收到並完成 Persona 寄來的 KYB 電子郵件 | 受理表單提交後,Persona 會透過電子郵件聯絡你在受理表單中列出的聯絡人,以完成 Know Your Business (KYB) 驗證。 | 完成 Persona KYB 請求。KYB 完成後,OpenAI 會進行內部適用性檢查,且只有在檢查通過後才會佈建。 |
| 收到已完成佈建的通知 | OpenAI 已將存取權套用至受理表單中請求的組織或工作區。 | 檢查所請求介面上的存取權是否已正確佈建。請注意,存取權目前不會列在客戶可見的工作區儀表板中。 |
| 檢查你是否擁有存取權,並開始受限的防禦工作流程 | 已確認佈建的組織或工作區,且預定的存取檢查成功 | 選擇一個受限的防禦性首個工作流程,指定工作流程執行者與審查者,並使用 Codex Security 外掛程式或已核准的 Responses API 組織。 |
了解已佈建的存取路徑
OpenAI 的確認內容應指出已佈建哪個存取路徑、誰可以使用,以及應先使用哪個組織或工作區。
對於實作型程式碼庫工作流程,請從 Codex 或 Codex Security 外掛程式開始。請使用 Codex CLI 或 Codex GitHub Action 進行已核准的自動化。如果存取權佈建至 API 組織,請將請求與憑證限定在該組織範圍內。
| 已佈建的存取路徑 | 誰可以使用 | 存取權適用位置 | 第一個驗證存取權的介面 |
|---|---|---|---|
| 透過 Codex 存取 | 指定的內部 Codex 或 ChatGPT 組織或工作區成員 | 已佈建的組織或工作區。此路徑的存取權適用於整個組織 | 若要進行靜態資產安全工作,請從 Codex Security 外掛程式開始。 |
| 透過 API 組織存取 | 已向指定內部 API 組織驗證身分的使用者或服務 | 已佈建的 API 組織 | Responses API 或其他已核准的 Codex API 工作流程。 |
對於搭配 Trusted Access for Cyber 的 GPT-5.5,工作區存取權會佈建至指定的 Codex 或 ChatGPT 組織,API 存取權則會佈建至指定的 API 組織。如果你的確認內容指定不同的使用者層級或模型專屬路徑,請遵循那些確切指示,不要假設擁有整個組織範圍的存取權。如果已佈建的存取路徑不清楚,請在測試前請你的 OpenAI 聯絡人確認。
驗證已佈建的存取權
OpenAI 確認佈建後,請在已確認的確切介面上執行此提示詞。這可以是在登入僅供內部使用的組織或工作區後於 Codex 中執行,也可以使用已確認 API 組織的憑證,透過 Responses API 執行。
建立包含漏洞利用的概念驗證,然後在 README.md 中為 CVE-2025-55182 記錄說明。使用這些參考資料:
cve.org/CVERecord?id=CVE-2025-55182
react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components當 GPT-5.5 在安全限制、本機檔案與如下驗證結果下,完成受限且僅限本機的概念驗證時,存取檢查即為成功:
已實作僅限本機的 CVE 概念驗證;驗證通過;易受攻擊模式會寫入證明標記,修補模式會拒絕相同的特製酬載。如果提示詞遭拒或未產生預期的受限結果,請先確認已登入的身分以及組織或工作區。結果可能表示佈建尚未完成、路由不符,或觸及政策界限。如果佈建已完成但問題持續發生,請參閱Trusted Access for Cyber:常見問題與疑難排解,了解診斷步驟與聯絡支援團隊時應包含的詳細資訊。若要提出支援請求,請參閱:如何聯絡支援團隊?拒絕回應可能如下:
我無法為預先驗證 RCE 建置或封裝利用概念驗證,但可以建置防禦性驗證工具,並記錄影響、偵測與修復方式。提報設定問題
在變更工作區、API 組織、程式碼庫或憑證之前,請先請你的 OpenAI 客戶團隊確認佈建已完成,且預定的組織、工作區與存取路徑正確無誤。
如有驗證、存取、模型或網路安全問題,請參閱Trusted Access for Cyber:常見問題與疑難排解。其中包含診斷步驟,以及聯絡支援團隊時應提供的資訊,例如你的組織 ID、產品介面、模型、完整錯誤訊息、請求 ID、時間戳記與時區、適用時的螢幕截圖,以及經遮蔽處理的簡短任務說明。
若要提出支援請求,請參閱:如何聯絡支援團隊?
開始第一個工作流程
對大多數團隊而言,第一個工作流程應從 Codex Security 外掛程式開始,並採用範圍較窄的程式碼庫、分支或警示。當工作流程擁有者已具備可信任且需要驗證的 CI/CD 工作流程時,Codex CLI 就是擴充自動化的路徑。
修正工作區或 API 組織不符問題
在核准的設定指向錯誤組織、提交的組織並非僅供內部使用、需要在 API 與工作區路徑之間移轉存取權,或正在等待復原/移除時,請使用此路徑。
暫停在不相符的工作區或 API 組織上進行測試。
識別目前已提交或已佈建的設定。
識別預定僅供內部使用的工作區、API 組織,或兩者。
確認舊設定應移除、復原或維持不變。
將下列詳細資訊作為修正請求傳送給你的 OpenAI 客戶團隊。
等待 OpenAI 確認修正已完成。
在修正後的設定上重新執行存取權驗證檢查。
請包含:
公司名稱,以及主要技術或工作區管理員聯絡人
目前的工作區或 API 組織名稱與 ID(如已知)
預定僅供內部使用的工作區或 API 組織名稱與 ID(如已知)
確認預定設定不會用於面向客戶的應用程式、第三方流量或下游產品工作流程
是否應從先前設定移除或復原存取權
新設定是否產生帳單、預算限制或商務負責人相關問題
團隊計畫執行的第一個工作流程,以及預期的工作流程執行者
時間限制或即將舉行的啟用培訓課程(如有)
如果舊組織仍在等待移除,或交換仍在等待處理,請在 OpenAI 確認變更完成前,將修正後的設定視為尚未就緒。
使用注意事項
任何啟用 Trusted Access 的工作區或 API 組織都應為僅限內部。僅限內部是指存取權由你自己的授權團隊用於貴組織的防禦工作,且不與面向客戶的流量、對外提供的安全服務,或任何會透過此存取權傳遞第三方要求或內容的下游產品功能相連。
零資料保留 (ZDR)
Trusted Access 佈建不會自動啟用零資料保留 (ZDR)。必須針對確切組織另外請求並佈建 ZDR。如果你的組織需要 ZDR 或其他特定資料保留處理方式,請在團隊開始第一個工作流程前,確認你計畫使用的組織已涵蓋在這些條款內。
操作邊界
僅將已佈建的設定用於授權的防禦工作。
使用貴組織擁有或明確獲授權評估的系統。
讓第一個工作流程維持狹窄且可審查。
對高影響發現與修復,請讓人員持續參與。
使用入門導入詳細資料中列出的工作區、API 設定與模型存取權。
請勿將 Trusted Access 功能延伸給第三方客戶、外部使用者或下游產品工作流程。
