不是,这是模型自带的吗 3 个帖子 - 2 位参与者 阅读完整话题
安全检查很适合做成 Skill,因为它有稳定 checklist,而且容易被普通开发任务忽略。 OpenAI 官方 skills 里也有 security 相关技能可以参考: github.com GitHub - openai/skills: Skills Catalog for Codex Skills Catalog for Codex 我会检查这些点 是否误提交密钥、token、cookie。 是否把 .env 、日志、私钥放进仓库。 新增接口有没有鉴权。 用户输入有没有校验。 文件上传有没有类型和大小限制。 SQL/命令/路径拼接有没有注入风险。 依赖有没有明显高危包。 SKILL.md 草稿 --- name: security-check description: Check code changes for secrets, authentication, authorization, input validation, injection risk, and unsafe file handling. Use before merging backend, auth, upload, payment, or infrastructure changes. --- # Security Check Focus on exploitable issues, not generic advice. Check: 1. Secrets and credentials 2. Authentication and authorization 3. Input validation 4. SQL/command/path injection 5. File upload safety 6. Dependency and config risks 7. Logging of sensitive data Output findings with severity, file path, impact, and minimal fix. Do not suggest large rewrites unless required. 适合触发的场景 登录注册 权限控制 文件上传 支付回调 Webhook 数据库查询 脚本执行 CI/CD 配置 不适合触发的场景 普通文案、颜色、布局调整就没必要跑完整安全检查。 所以 description 里最好写清楚:什么时候用,什么时候不用。 我的经验是:安全 Skill 不需要很长,但 checklist 要硬。 2 个帖子 - 1 位参与者 阅读完整话题
今天收到一堆安全检查报告,发现公司用Mythos来进行代码安全检查,有这功夫不如直接建mr帮我修好算了 1 个帖子 - 1 位参与者 阅读完整话题
你的对话中有多个可能的网络安全风险的标记 由于启用了额外的安全检查,回复时间可能比平时更长。切换到 GPT-5.4 即可立即获得更快回复,或加入 Trusted Access for Cyber 计划。 何意味?从来没有破限过,一直也都是这一个项目 这是否影响gpt5.5的使用呢 6 个帖子 - 3 位参与者 阅读完整话题
IT之家 5 月 12 日消息,OpenAI 今天(5 月 12 日)对标 Anthropic 的 Glasswing 方案, 面向企业推出软件安全防御项目 Daybreak,主打把安全能力整合到软件开发阶段。 该项目主要亮点聚焦在把网络防御前置到开发流程、用 AI 自动发现高风险漏洞、并为企业提供评估与修复支持 3 个方面。 IT之家援引博文介绍,OpenAI 公布了该项目 3 个可用模型: GPT-5.5 提供通用用途的标准安全防护; 带有 Trusted Access for Cyber 的 GPT-5.5 面向经过验证的防御工作和授权环境; GPT-5.5-Cyber 则服务于专门的授权工作流,并加入更强的验证和账号级控制。 OpenAI 公司指出,该项目并不只是一次性的漏洞扫描服务,而是一套嵌入日常开发环节的安全工具链,让软件从一开始就带上防御能力,而不是等上线后再补漏洞。 该项目建立在 OpenAI 今年 4 月发布的 GPT-5.4-Cyber 基础上,该模型此前已帮助修复超过 3000 个漏洞。 具体能力上,Daybreak 结合了 OpenAI 模型、Codex 的智能体执行框架,以及合作伙伴提供的安全能力。OpenAI 给出的使用场景包括安全代码审查、威胁建模、补丁验证、依赖风险分析、检测和修复建议。 在实际开发场景下,开发团队不必只在发布前集中排查问题,而是可以把这些检查放进日常写代码、改代码和验证补丁的循环里,从而尽早发现风险。 在工作流程上,Daybreak 会通过 Codex Security 读取企业的软件代码仓库,先生成一份可编辑的威胁模型,再自动监控高风险漏洞。 如果系统发现问题,企业可以在隔离环境中继续调查。这种做法的重点不是单次输出报告,而是把“建模、监控、排查”连成持续流程。对拥有大量代码库和依赖项的公司来说,这种模式更适合长期维护。 OpenAI CEO 萨姆 · 奥尔特曼表示,公司希望与“尽可能多的企业”合作,持续帮助它们抵御网络威胁。 科技媒体 MacRumors 指出,苹果、微软、谷歌和亚马逊已采用 Anthropic 的 Glasswing 项目,因此 Daybreak 要争取大客户,接下来很可能要比拼接入成本、误报控制和企业合规能力,而不只是模型本身。 企业目前可以向 OpenAI 申请 Daybreak 评估,其中包含漏洞扫描,但价格尚未公布。OpenAI 也表示,正与行业和政府伙伴合作,为未来部署更强网络安全模型做准备。 OpenAI Daybreak 项目示意图
5月20日消息,据报道,美国监管机构暂缓对大型银行部分与网络安全相关的检查,以便这些机构有更多时间应对由Anthropic的新Mythos AI模型所暴露出的风险。在监管机构和银行测试新技术期间,美联储和货币监理署希望给予银行时间加强系统,应对由最新AI模型暴露出的网络威胁。Anthropic上月表示,将限制对Mythos的访问权限,警告称该模型可能被用于发动网络攻击。为此,该公司推出了名为“Project Glasswing”的计划,仅允许包括苹果公司和摩根大通在内的少数企业优先使用该技术,以测试自身网络防御能力。(界面)