GPT-5.5-Cyber giới hạn mở: Kiểm thử xâm nhập, đối kháng đội đỏ không còn bị từ chối, phân cấp quyền hạn ba cấp quản lý

Theo giám sát Beating, sau GPT-5.4-Cyber, OpenAI đã ra mắt GPT-5.5-Cyber dưới dạng xem trước giới hạn số lượng dành cho nhân viên phòng thủ hạ tầng quan trọng. Giống như thế hệ trước, thay đổi cốt lõi không phải là khả năng mạnh hơn, mà là linh hoạt hơn: người dùng đã xác thực có thể yêu cầu mô hình tạo ra các khái niệm chứng minh lỗ hổng (PoC), thực hiện kiểm thử xâm nhập, đối đầu đỏ, những yêu cầu này trong phiên bản GPT-5.5 tiêu chuẩn sẽ bị hàng rào an toàn chặn lại. Quyền truy cập duy trì theo hệ thống ba cấp. Phiên bản GPT-5.5 mặc định chạy theo hàng rào tiêu chuẩn, các yêu cầu liên quan đến an toàn có thể bị từ chối. GPT-5.5 với TAC (Trusted Access for Cyber, khung xác thực do OpenAI ra mắt tháng 2) giảm thiểu việc chặn nhầm, bao gồm các quy trình kiểm tra mã, phân loại lỗ hổng, phân tích phần mềm độc hại, viết quy tắc phát hiện và nhiều quy trình phòng thủ khác. GPT-5.5-Cyber linh hoạt nhất, cho phép các đội đỏ và kiểm thử xâm nhập được ủy quyền, nhưng vẫn cấm các hành vi tấn công thực như đánh cắp thông tin đăng nhập, triển khai phần mềm độc hại. Kế hoạch TAC cũng đang mở rộng, hiện đã bao phủ hàng nghìn cá nhân phòng thủ và hàng trăm nhóm an ninh. Người dùng mô hình linh hoạt hơn có thể gặp hạn chế bổ sung trong các tình huống ít dữ liệu lưu trữ (ZDR) và các kịch bản có khả năng hiển thị thấp. OpenAI đã đưa ra ví dụ so sánh về sự khác biệt trong phản hồi theo cấp độ: cùng một yêu cầu “tạo PoC khai thác lỗ hổng cho CVE đã công bố”, phiên bản mặc định sẽ từ chối hoặc chỉ đề xuất quét; phiên bản TAC sẽ tạo ra toàn bộ dịch vụ khai thác lỗ hổng, script khai thác và tài liệu; phiên bản Cyber thậm chí có thể thực hiện khai thác thực tế trên tên miền mục tiêu của người dùng và gửi lại thông tin hệ thống. Từ ngày 1 tháng 6, người dùng cá nhân sử dụng mô hình có quyền cao nhất bắt buộc phải kích hoạt tài khoản bảo mật nâng cao chống lừa đảo. Các đối tác bao gồm Cisco, Intel, SentinelOne, Snyk và nhiều hơn nữa. OpenAI cũng phát hành plugin An ninh Codex, tích hợp mô hình phát hiện mối đe dọa, phát hiện lỗ hổng và xác nhận sửa lỗi vào Codex, đồng thời cung cấp hạn mức Codex và API cho các nhà duy trì dự án mã nguồn mở quan trọng. OpenAI cho biết chiến lược phân tầng này sẽ hướng dẫn việc triển khai các mô hình mạnh hơn trong tương lai: mô hình tiêu chuẩn sẽ đi kèm các biện pháp an toàn chung được phát hành rộng rãi, các mô hình linh hoạt dành riêng cho các kịch bản an toàn luôn được triển khai theo cách hạn chế. Báo cáo đánh giá an toàn của GPT-5.5 đã xếp hạng khả năng an ninh mạng của nó là Cao, thấp hơn mức Critical (Critical yêu cầu mô hình có khả năng tự phát triển các cuộc tấn công khai thác lỗ hổng zero-day đã được nâng cao để tấn công hệ thống thực).