OpenAI bude vyžadovat fyzické bezpečnostní klíče
Firma OpenAI oznámila, že členové jejího programu Trusted Access for Cyber si budou muset od 1. září 2026 zabezpečit své účty pomocí hardwarového přístupového klíče. Pokud tak neučiní, ztratí přístup k nejpokročilejším modelům určeným pro kybernetickou bezpečnost a jejich účty se vrátí na běžnou úroveň přístupu.
Program Trusted Access for Cyber slouží prověřeným bezpečnostním výzkumníkům a organizacím, které s pomocí umělé inteligence analyzují malware, testují detekční systémy, ověřují zranitelnosti a validují bezpečnostní záplaty. Právě proto, že se v těchto systémech pracuje s citlivými daty a nástroji, klade OpenAI na ověření totožnosti uživatelů čím dál větší důraz.
Co je hardwarový přístupový klíč
Hardwarově zabezpečený přístupový klíč, takzvaný passkey, ukládá přihlašovací údaje přímo ve fyzickém zařízení podobném USB flash disku, místo v softwaru nebo cloudu. Tyto údaje tak nelze zkopírovat ani vzdáleně zneužít, jak by to šlo u hesla nebo u některých forem dvoufaktorového ověření.
OpenAI si pro tento krok vybrala partnera Yubico, firmu, která vyrábí fyzické bezpečnostní klíče YubiKey. Společnost je se svými produkty dlouhodobě spojena s vysokými nároky na bezpečnost a OpenAI je ostatně už dnes používá k ochraně vlastních zaměstnanců a interní infrastruktury.
Generální ředitel společnosti Yubico Jerrod Chong řekl, že v prostředí, kde jsou v sázce tak citlivá data, už nestačí spoléhat na softwarová řešení nebo starší formy dvoufaktorového ověření, protože ty lze poměrně snadno obejít nebo zachytit. Podle něj musí opravdová bezpečnost stát na hardwarovém základu, který nelze zkopírovat ani synchronizovat mezi zařízeními.
OpenAI: Jednotliví členové si budou muset aktivovat Pokročilé zabezpečení účtu s hardwarovými bezpečnostními klíči, aby si zachovali přístup k našim průkopnickým modelům s největšími kybernetickými schopnostmi. Ti, kteří tak neučiní, budou vráceni k výchozímu přístupu.
Proč SMS kódy a notifikace už nestačí
Běžné metody ověření, jako jsou SMS kódy nebo potvrzení v mobilní aplikaci, dnes útočníci dokážou poměrně snadno zachytit, přesměrovat nebo obejít pomocí sofistikovaného phishingu a sociálního inženýrství.
Hardwarový klíč funguje jinak, protože ověřuje nejen uživatele, ale i to, zda jde skutečně o legitimní službu, dříve než k přihlášení vůbec dojde. Díky tomu se člověk nemůže omylem přihlásit na podvodnou stránku, která se tváří jako pravá.
Zneužitý účet totiž nepředstavuje jen riziko úniku dat. V programech, jako je Trusted Access for Cyber, by útočník mohl získat i důvěryhodné postavení v systému, tedy přístup k nástrojům, které jsou běžným uživatelům nedostupné.
Právě to je riziko, které chce OpenAI eliminovat. Vyžadování fyzického klíče má také jeden vedlejší efekt: útočníkům citelně prodraží a zkomplikuje snahu vytvářet, ověřovat a dále prodávat ukradené účty ve velkém.
Jak bude ověření fungovat v praxi
Uživatelé, kteří do programu patří, si budou moci aktivovat takzvané Advanced Account Security, tedy pokročilé zabezpečení účtu, právě pomocí hardwarového klíče. Zároveň si budou moci vypnout slabší záložní metody přihlášení, které by jinak mohly zůstat zneužitelnou skulinkou.
Yubico pro tuto příležitost nabízí držitelům účtů OpenAI zvýhodněnou dvojici klíčů. Jde o model YubiKey C NFC, který umožňuje přihlášení pomocí USB-C konektoru nebo přiložením k telefonu či tabletu díky technologii NFC, a o model YubiKey C Nano, tedy malý klíč určený k tomu, aby zůstával trvale zasunutý v notebooku.
Po aktivaci se uživatelé budou přihlašovat bez hesla pomocí rychlého a pohodlného procesu, který nezávisí na údajích, jež by šlo zkopírovat nebo zachytit při přenosu mezi zařízeními.
Velké AI firmy zpřísňují kontrolu nad tím, kdo se dostane k jejich nejsilnějším modelům. OpenAI podle svých slov zároveň posiluje omezení pro rizikové subjekty, aby zabránila zneužití pokročilých kybernetických schopností. Podobné obavy v poslední době řeší i konkurenční Anthropic.