OpenAI sta scalando il suo programma Trusted Access for Cyber (TAC) – migliaia di difensori verificati, centinaia di team che proteggono software critico. E oggi arriva GPT-5.4-Cyber: una variante di GPT-5.4 addestrata specificamente per abbassare le barriere nelle attività di cybersecurity difensiva.
Il problema di fondo
L’infrastruttura digitale è vulnerabile da anni – da prima ancora che l’AI avanzata entrasse in scena. Ora i modelli attuali aiutano a trovare vulnerabilità, ragionare su codebase intere, supportare flussi di lavoro cyber. E gli attaccanti? Sperimentano approcci AI-driven. OpenAI dice: i safeguard non possono aspettare una singola soglia futura.
Tre principi guida
Accesso democratizzato. Obiettivo: rendere questi strumenti disponibili il più possibile, prevenendo abusi. Criteri oggettivi e verifiche d’identità forti decidono chi accede a capacità avanzate. Non decisioni arbitrarie centrali su chi può difendersi.
Deploy iterativo. Si impara mettendo i sistemi nel mondo con cautela e migliorandoli nel tempo. Capire benefici e rischi differenziati, migliorare resilienza a jailbreak, potenziare capacità difensive – mitigando danni.
Resilienza dell’ecosistema. Supporto ai difensori attraverso percorsi di accesso fidato, grant mirati, contributi a iniziative open-source, tecnologie come Codex Security che aiutano a trovare e patchare vulnerabilità rapidamente.
GPT-5.4-Cyber: cosa cambia
Questa variante abbassa la soglia di rifiuto per lavoro legittimo di cybersecurity. Abilita nuove capacità per workflow difensivi avanzati – tipo reverse engineering binario per analizzare software compilato alla ricerca di potenziale malware, vulnerabilità, robustezza di sicurezza. Senza bisogno del codice sorgente.
Più permissivo = deploy limitato e iterativo. Partono vendor di sicurezza verificati, organizzazioni, ricercatori. L’accesso a modelli permissivi e cyber-capaci può avere limitazioni – specialmente per usi senza visibilità come Zero-Data Retention (ZDR). Particolarmente vero per sviluppatori che accedono tramite piattaforme terze dove OpenAI ha meno visibilità diretta su utente, ambiente, scopo della richiesta.
Come accedere al TAC
Individui: verificare identità su chatgpt.com/cyber. Aziende: richiedere trusted access attraverso il proprio rappresentante OpenAI. Chi viene approvato ottiene accesso a versioni di modelli esistenti con ridotta friction su safeguard che potrebbero triggerare su attività cyber dual-use. Supporto a educazione sulla sicurezza, programmazione difensiva, ricerca responsabile di vulnerabilità.
Chi è già in TAC e vuole autenticarsi ulteriormente come legittimo cyber defender può esprimere interesse per tier aggiuntivi – incluso richiedere accesso a GPT-5.4-Cyber.
Codex Security e numeri concreti
Lanciato in beta privata sei mesi fa, poi ricerca preview quest’anno. Monitora automaticamente codebase, valida problemi, propone fix. Miglioramento dei modelli = miglioramento di precisione e utilità del sistema. Dal lancio recente: oltre 3.000 vulnerabilità critiche e high risolte, più molte altre di severità inferiore nell’ecosistema.
Programma grant da $10M per cybersecurity, oltre 1.000 progetti open source raggiunti con Codex for Open Source (scanning di sicurezza gratuito).
Verso il prossimo rilascio di modello
Le difese cyber attuali sono il risultato di mesi di miglioramento iterativo. OpenAI crede che la classe di safeguard in uso oggi riduca sufficientemente il rischio cyber per supportare deploy ampio dei modelli attuali. Versioni di questi safeguard dovrebbero bastare per i prossimi modelli più potenti.
Però i modelli esplicitamente addestrati e resi più permissivi per lavoro di cybersecurity richiedono deploy più restrittivi e controlli appropriati. Sul lungo termine, per garantire sufficienza continua dell’AI safety in cybersecurity, serviranno difese più espansive per modelli futuri – le cui capacità supereranno rapidamente anche i migliori modelli purpose-built di oggi.
