← 返回信息流
AI 资讯Hacker News·1 小时前

OpenAI 强制 Trusted Access Cyber 成员使用硬件密钥

原标题:OpenAI mandates hardware-backed passkeys for Trusted Access Cyber members

速览

OpenAI 宣布,其 Trusted Access Cyber 安全计划的成员将强制使用硬件支持的通行密钥,替代传统密码。此举旨在提高账户安全性,防止网络钓鱼和凭证盗窃。这反映了科技行业对无密码认证的进一步推动,尤其是对高价值 AI 账户的保护。

AI 深度解读

背景

随着人工智能技术的快速演进,全球网络安全格局正在发生深刻变化。AI 能力的增强使得对系统访问权限的保护变得前所未有地重要——尤其是对于负责发现漏洞、强化软件和提升网络韧性的安全研究人员与防御者而言。传统账户保护手段已不足以抵御现代钓鱼攻击和社会工程学攻击。行业需要一种能够确保尖端 AI 能力始终掌握在可信用户手中的高级账户保护机制。

核心内容

OpenAI 于今日宣布了一项新的行业标准:自 9 月 1 日起,所有 Trusted Access for Cyber (TAC) 计划的个人成员必须启用基于硬件支持的通行密钥(hardware-backed passkey)的 Advanced Account Security,才能继续访问前沿网络模型。此外,OpenAI 正在收紧对高风险实体和司法管辖区的访问限制。

Yubico 对此表示,AI 安全的未来在很大程度上依赖于身份认证与认证器保障,而不仅仅是模型本身的安全性。在风险如此之高的环境中,组织不能再依赖基于软件的控制或传统的多因素认证(MFA),因为这两种方式都容易被绕过或拦截。真正的安全需要一种抗钓鱼、基于硬件支持的信任根,它建立在无法被复制或同步的凭证之上。

通过使用硬件支持的通行密钥保护 TAC,攻击者大规模利用账户的难度和成本都会显著提高。这种方式大幅抬高了准入门槛,从而破坏依赖于创建、验证和转售被攻破账户以进行下游滥用的犯罪生态系统。

对于需要遵循新规的 TAC 成员来说,迁移到硬件保护是一个无缝的过程。通过 OpenAI 的 Advanced Account Security 计划,安全密钥通过有意禁用较弱的回退方法,提供了一个更高保障的环境。Yubico 与 OpenAI 的合作允许用户复制 OpenAI 内部用于保护其自身基础设施和员工的相同安全态势。为促进这一过渡,现有账户持有者可以以优惠价格购买定制的双装 YubiKey 套装:

  • YubiKey C NFC – OpenAI:专为现代移动办公人员设计,只需轻触手机或平板即可完成认证。
  • YubiKey C Nano – OpenAI:追求极致的便利性,可插入笔记本电脑的 USB-C 端口并留在那里,提供持续且省心的保护。

注册后,用户将体验到快速、完全无密码的抗钓鱼安全认证体验。如需立即用 YubiKeys 保护 ChatGPT 账户,请访问 chatgpt.com/advanced-account-security 或阅读完整的合作详情。

关键要点

  • OpenAI 强制要求 TAC 成员自 9 月 1 日起使用硬件支持的通行密钥(硬件安全密钥)来保护账户。
  • TAC(Trusted Access for Cyber)是 OpenAI 面向网络安全研究人员和防御者的信任访问计划,主要提供前沿网络模型的访问权限。
  • 新规要求用户必须启用 Advanced Account Security,即基于硬件支持的通行密钥,禁止使用基于软件的认证或传统 MFA。
  • OpenAI 同时宣布加大对高风险实体和司法管辖区的访问限制,以降低模型被滥用的风险。
  • Yubico 作为合作方提供定制的 YubiKey 硬件密钥,现有账户持有者可以优惠价格购买双装(C NFC 和 C Nano)。
  • 硬件密钥通过不可复制、不可同步的凭证建立抗钓鱼的信任根,从根本上抵御现代钓鱼和社会工程攻击。
  • 这一举措大幅提升了攻击者大规模窃取账户的成本,破坏了围绕被攻破账户的地下经济链条。

意义与影响

OpenAI 此举为 AI 行业的安全访问树立了新的标杆。以往,多数云服务仅依赖软件级多因素认证(如 SMS、生成码 App),但这类认证容易遭受中间人攻击、钓鱼社攻或 SIM 交换攻击。强制使用硬件支持的通行密钥,意味着即便是顶尖的 AI 模型访问权限,也必须经过物理安全凭证的验证,这极大降低了账户被盗后用于恶意目的的风险。

对网络安全研究社区而言,TAC 成员本就是负责发现与修复漏洞的关键群体,他们的账户一旦被攻破,后果尤为严重。通过硬件密钥保护这些“守门人”的身份,实际上是在加固整个 AI 生态的底层信任链。

同时,OpenAI 收紧对高风险实体与司法管辖区的访问,显示出其在 AI 治理上的主动姿态——不仅从技术层面防御,也从准入层面进行管控。这种“技术+制度”的双重保障,可能成为其他 AI 平台和云服务商效仿的模式。

从更宏观的视角看,这一趋势预示着:随着 AI 模型能力接近甚至超越人类专家水平,对其访问权限的保护将从“身份验证”转向“身份+硬件绑定”的强层级保障。Yubico 等硬件安全厂商的角色将愈发重要,而传统基于软件的密码或一次性验证码可能会逐步被淘汰。未来,硬件支持的通行密钥有望成为访问尖端 AI 能力的“标配”,从而推动整个行业向更高等级的安全标准演进。

查看原文 →yubico.com