OpenAIは、脆弱性の発見からパッチ生成までを自動化する新イニシアチブ「Daybreak」を発表した。同社の発表によれば、サイバー防衛のパラダイムを従来の「検知」から「修正」へと転換し、AIによる自律的なセキュリティ強化を目指す。
OpenAIの技術文書では、AIモデルの進化により脆弱性の発見が容易になった一方で、その修正作業が防衛側のボトルネックになっていると指摘されている。この課題を解決するため、同社はサイバーセキュリティイニシアチブ「Daybreak」を大幅に拡張した。専用モデル「GPT-5.5-Cyber」のフルリリースと、開発環境に統合された「Codex Security」プラグインを軸に、エンドツーエンドの自動化エコシステムを構築し、サイバー防衛のパラダイムを「検知」から「修正」へと転換させる狙いがある。
Daybreakの中核を担うのは、専用モデル「GPT-5.5-Cyber」と「Codex Security」プラグインである。OpenAIの公開データによると、GPT-5.5-Cyberはサイバーセキュリティ作業において最も高性能なモデルとされており、CyberGymベンチマークで85.6%という高いスコアを記録した。これは標準のGPT-5.5モデルの81.8%を上回る性能である。Codex Securityプラグインは、開発者のコードベース内で脅威モデル構築からパッチ生成、検証までを自動化し、すでに30,000以上のコードベースで70,000以上の問題を手動修正、500,000以上の問題を自動修正したと報告されている。
OpenAIは、Trail of BitsやHackerOneらと共同で「Patch the Planet」イニシアチブを開始した。これはAIを活用したセキュリティ研究と専門家による人間レビューを組み合わせ、広く利用されているオープンソースソフトウェア(OSS)の脆弱性を発見し修正することを目的としている。cURLやPythonなど30以上の主要OSSプロジェクトが参加を表明しており、メンテナーにはセキュリティ研究者やCodex Securityへのアクセス権が提供され、社会インフラの基盤となるOSSのセキュリティ底上げが図られる。
AIによる脆弱性修正の自動化は、セキュリティ運用に変革をもたらす可能性がある。しかし、AIが生成したパッチが予期せぬバグや新たな脆弱性を混入させるリスクは無視できない。特に、既存の複雑なシステムへの適用においては、AIの修正が既存機能に与える影響を人間がどこまで安全に検証できるかが、運用現場の大きな課題となる。セキュリティ担当者は、AIの提案を鵜呑みにせず、厳格なテストとレビュープロセスを確立することが求められる。
Daybreakはサイバー防衛に大きな可能性を秘める一方で、未解決の論点も存在する。AIが脆弱性を発見・修正できる能力は、攻撃者側にも同様の能力が手に入る可能性を示唆している。OpenAIは「信頼できる防衛者」への限定的なアクセスを強調するが、その具体的な審査基準や技術的ガードレールの詳細は依然として不透明だ。今後、AIの悪用リスクをいかに抑制し、セキュリティコミュニティとの透明性の高い対話を通じて責任ある実装を証明できるかが、このイニシアチブの真価を問うことになる。
