OpenAIは2026年6月、組織のサイバー防御を支援するプログラム「Daybreak」を拡張したと発表しました。新たに、コーディング支援ツール「Codex」上でセキュリティ診断を行う「Codex Security」と、脆弱性の発見・検証・修正に特化したAIモデル「GPT-5.5-Cyber」の正式版を投入しています。あわせて、オープンソースソフトウェアの脆弱性修正を支援する「Patch the Planet」や、大手セキュリティ企業と連携する「Daybreak Cyber Partner Program」も拡大しました。攻撃側だけでなく防御側にも高度なAIを届けることで、脆弱性が悪用される前にふさぐ体制づくりを狙っています。

ポイント

  • OpenAIがサイバーセキュリティ支援プログラム「Daybreak」を拡張し、複数の新ツールを発表しました
  • 「Codex Security」はCodex上で、リポジトリごとの脅威モデル作成、攻撃経路の分析、隔離環境での脆弱性の検証、パッチ生成までを行うワークフローです
  • 「GPT-5.5-Cyber」は脆弱性の発見・修正に特化したモデルで、ベンチマーク「CyberGym」で85.6%のスコアを記録したと報じられています(通常版GPT-5.5は81.8%)。認証を受けた防御担当者向けに限定提供されます
  • オープンソースの脆弱性修正を後押しする「Patch the Planet」をTrail of Bits、HackerOneなどと共同開始。cURLやGo、Python、Sigstoreなど30以上のプロジェクトが参加を表明しています
  • Accenture、Cisco、Cloudflare、CrowdStrike、IBM、Palo Alto Networks、Wizなど多数のセキュリティ企業が「Daybreak Cyber Partner Program」に参加しています

背景と詳細

Daybreakは、OpenAIが企業や公共機関のサイバー防御を支援するために展開してきたプログラムです。今回の拡張は、AIの進化によって攻撃者側の脆弱性発見のスピードが上がっている一方、防御側の対応が追いついていないという課題意識に基づいています。OpenAIは、防御担当者にも同等のモデルを民主化して届け、攻撃者が脆弱性を見つけて悪用する前に、機械的な速度でパッチを当てられるようにすることを目的として掲げています。

中核となる「Codex Security」は、開発者向けAIコーディングツールCodexに組み込まれた新機能です。対象リポジトリの構成から現実的な攻撃経路や影響の大きいコードを洗い出して編集可能な脅威モデルを作成し、隔離環境で脆弱性を特定・検証したうえで、修正案(パッチ)を提案するところまでを一つの流れで行います。一方の「GPT-5.5-Cyber」は、大規模なコードベースに対してより深い分析を継続できるとされる専用モデルで、脆弱性の発見からパッチの作成・検証までを担います。ただし、より高い自由度を持つモデルであるため、提供対象は事前に認証を受けた信頼できる防御担当者に限定され、通常より厳格な検証・監視・利用範囲の制限を伴う形で提供されるとしています。

もう一つの柱が、オープンソースソフトウェアの保守を支援する「Patch the Planet」です。セキュリティ専門企業のTrail of Bitsがセキュリティ研究部門を挙げてこの取り組みに参加し、HackerOneなどとも連携しながら、CodexおよびGPT-5.5-Cyberを使って対象プロジェクトの脆弱性調査・検証・パッチ開発・開示調整までを担当しています。cURLやGo、Python、Sigstore、pyca/cryptographyといった広く使われているプロジェクトを含め、30以上のオープンソースプロジェクトが参加を表明しており、すでに多数の脆弱性が見つかり、一部は修正が完了したと報じられています。

さらにOpenAIは、Accenture、Cisco、Cloudflare、CrowdStrike、IBM、Palo Alto Networks、Wizなど、コンサルティング大手からセキュリティ専業企業まで多数の企業が参加する「Daybreak Cyber Partner Program」も拡大しました。参加企業は自社の製品やサービスの中でGPT-5.5を活用できるようになり、より多くの顧客企業にAIによる防御能力を届けられるとしています。

なぜ重要か

日本国内でも、企業システムやオープンソースソフトウェアの脆弱性を突いたサイバー攻撃は増加傾向にあり、限られたセキュリティ人材で対応しきれないという課題は共通しています。AIが脆弱性の発見から検証、パッチ作成までを支援する仕組みは、人手不足に悩む国内の情報システム部門やソフトウェア開発現場にとっても参考になる動きです。特に、多くの企業が依存しているオープンソースソフトウェアの安全性が底上げされれば、その恩恵は間接的に国内の利用企業にも及びます。一方で、同様の技術は攻撃側にも悪用され得るため、防御と攻撃の技術競争が今後さらに加速する可能性がある点にも注意が必要です。

今後の見通し

GPT-5.5-Cyberは当面、認証を受けた防御担当者向けの限定提供にとどまるとみられ、一般の開発者が広く使えるようになるかは今後の展開次第です。Patch the Planetの取り組みで実際にどれだけの脆弱性が修正され、対象プロジェクトが広がるかも注目されます。パートナー企業を通じて日本国内の企業にどのような形でサービスが届くかについては、今後の発表を待つ必要がありそうです。