OpenAI ने 29 अप्रैल को एक cybersecurity action plan प्रकाशित किया, Help Net Security ने सारांशित किया, जो कंपनी की approach को इस तरह framing करता है: safety grounds पर model access को restrict करने के बजाय defenders को arm करने की race। OpenAI के Head of National Security Policy Sasha Baker ने threat framed किया: "दुर्भावनापूर्ण actors phishing सुधारने, reconnaissance automate करने, malware development तेज़ करने, detection से बचने, और cyber operations का scale बढ़ाने के लिए AI का उपयोग कर रहे हैं। ये groups वास्तविक नुक़सान के लिए सबसे advanced frontier models नहीं चाहिए; capable mid-tier systems भी meaningful operational advantage दे सकते हैं।" Plan पांच pillars के चारों ओर structured है: cyber defense democratize करना, government और industry के बीच coordinate करना, frontier cyber capabilities के आसपास security मज़बूत करना, deployment में visibility और control बनाए रखना, और users को ख़ुद को बचाने में सक्षम करना। Defender access का vehicle है Trusted Access for Cyber (TAC) program — verified defenders के लिए tiered access, अधिक powerful capabilities पर सख़्त नियंत्रण के साथ। Help Net Security इसे Anthropic की "अधिक सावधान stance, जो tighter control और advanced AI capabilities तक restricted access पर ज़ोर देती है" के साथ स्पष्ट रूप से contrast करता है।
OpenAI/Anthropic policy split अब एक स्पष्ट market segmentation है। OpenAI का तर्क: अगर हमलावर phishing, reconnaissance, malware development और detection evasion को scale करने के लिए mid-tier systems उपयोग कर सकते हैं, तो defenders के लिए ही frontier capability restrict करना बस race हार जाता है। निहितार्थ है कि सही policy lever access-tiering है, capability-gating नहीं — ठीक यही TAC institutionalize करता है। Anthropic का पलट तर्क है कि mass defender access का मतलब mass dual-use exposure भी है, और इस सप्ताह की शुरुआत में हमने जो Pentagon-refusal precedent (Anthropic का supply-chain-risk मुक़दमा) cover किया वह generalize होता है — उन use cases को मना करें जहां आप safety controls लागू नहीं कर सकते। दोनों stances रक्षणीय हैं। कौन जीतता है यह संभवतः technical merit से कम और regulatory environment और किस Tumbler-Ridge-शैली का मुक़दमा पहले किस कंपनी पर गिरता है इस पर अधिक निर्भर करता है।
तीन pattern मायने रखते हैं। पहला, "capable mid-tier systems भी meaningful operational advantage दे सकते हैं" — Baker का framing — वही thesis है जो Wiz Research ने पिछले हफ़्ते GitHub के विरुद्ध प्रदर्शित की, जब AI का उपयोग एक closed-source binary में critical RCE खोजने के लिए किया गया। AI-संचालित vulnerability-discovery threat model अब OpenAI के अपने policy framing में mainstream है। उम्मीद रखें कि हर बड़ा security vendor 2026 भर में समान reports प्रकाशित करेगा, और उम्मीद रखें कि बीमा वाहक AI-attack exposure को premiums में शामिल करना शुरू करेंगे। दूसरा, TAC program का tiered-access design एक template है: defenders verify करें, capability access को trust level द्वारा scale करें, सबसे powerful capabilities को heavier controls के पीछे रखें। यह संरचना किसी भी provider के लिए portable है जो defensive उपयोग के लिए "safety-tier" capabilities पेश करना चाहे; उम्मीद रखें कि Anthropic, Google, Microsoft, और AWS Bedrock 12 महीनों के भीतर अपने equivalents प्रकाशित करेंगे। तीसरा, Anthropic vs OpenAI split व्यापक 2026 industry split को दर्शाता है — OpenAI वे contracts और capability bets लेती है जो Anthropic ठुकराता है (Pentagon contracts, defender-access)। Market अंततः price करेगा कि कौन सा side सही है; अभी के लिए, builders को दोनों कंपनियों की policies पढ़नी होंगी और स्पष्ट रूप से bets लगाने होंगे।
Builders के लिए, तीन ठोस बातें। पहला, अगर आप security tooling बनाते हैं, TAC tiered-access program वास्तव में evaluate करने योग्य है, सिर्फ़ bookmark करने योग्य नहीं। advanced models के लिए defender-side use case असली है (vulnerability discovery, log triage, threat hunting, CTI feeds पर RAG), और OpenAI signal दे रही है कि उसे verified partners चाहिए। जल्दी अंदर आएं या competitors को पहले अंदर आते देखें। दूसरा, "mid-tier systems भी ख़तरनाक" framing एक regulatory signal है। अगर OpenAI सार्वजनिक रूप से तर्क दे रही है कि mid-tier capability meaningful attack scaling के लिए पर्याप्त है, तो विधायी प्रतिक्रिया आएगी — पहले जो compliance frameworks मौजूद नहीं थे ऐसे mid-capability-tier models के लिए frameworks की उम्मीद रखें, और अपनी ख़ुद की safety documentation पहले से तैयार रखें। तीसरा, OpenAI-Anthropic policy divergence अब किसी भी कंपनी के लिए स्पष्ट strategic choice है जो दोनों में से किसी एक पर निर्माण कर रही है। अगर आपके ग्राहक "restricted-access-as-safety-feature" की परवाह करते हैं, Anthropic वह upstream supplier है जिसकी stance align होती है। अगर आपके ग्राहक defenders के लिए broad capability access चाहते हैं, OpenAI का TAC वह supplier vehicle है। एक साल पहले का "आप कौन सा model उपयोग करते हैं इस पर agnostic" pitch अब पूरी तरह agnostic नहीं रहा — अब आपको explain करना होगा कि आप policy split के किस side पर align हैं।