オープンAIはAIを活用して世界の組織のサイバーセキュリティ能力を強化する「デイブレイク」を拡大すると23日に明らかにした。デイブレイクはソフトウェアの脆弱性発見を越えて、検証とリスク評価、パッチの開発・テストおよび配布に至るまでの全体の修正プロセスを加速することを目標とするオープンAIのサイバーセキュリティ・イニシアチブである。
オープンAIはデイブレイクの拡大を通じて「コーデックスセキュリティ」プラグインを公開した。コーデックスセキュリティは警告の生成を越えて、チームのコードと脅威モデルを理解し、脅威モデルがなければ新たに生成し、潜在的な脆弱性を特定する。また影響を受けるコードに実際にアクセスできるかを判断し、検証手順に必要な根拠を収集し、当該問題に適したパッチを開発してその結果を検証する。発見された脆弱性の追加調査とパッチ適用の可否は開発者とセキュリティ担当者が決定する。
検証された防御の専門家向けに「GPT-5.5-サイバー」正式版も限定的に公開した。汎用知能と長期間にわたる複雑な作業を遂行する能力を維持しつつ、ソフトウェアの脆弱性を発見しパッチを当てることを支援するオープンAIの最も強力なモデルである。このモデルは大規模コードベースでセキュリティ関連の構成要素と攻撃経路を分析し、制御された環境で脆弱性を検証し、パッチの開発・テストを支援する。既知の脆弱性再現能力を評価するサイバーセキュリティ・ベンチマークである「サイバージム(CyberGym)」で85.6%を記録し、GPT-5.5の81.8%を上回った。
オープンAIは選定されたセキュリティソフトウェアおよびサービスのパートナーがGPT-5.5とサイバーセキュリティのための信頼ベースのアプローチを顧客向け製品・サービスに活用できるよう支援する「デイブレイク・サイバーパートナープログラム」も発足する。
あわせてオープンソースプロジェクトのメンテナーが脆弱性の発見から実際の修正へと進めるよう支援する「パッチ・ザ・プラネット」プログラムを開始した。オープンAIはセキュリティ研究企業トレイル・オブ・ビッツ(Trail of Bits)とともに、セキュリティ研究者が先端モデルとコーデックスセキュリティを活用してオープンソースプロジェクトの脆弱性を検証しパッチを適用できるよう支援している。ハッカーワンとカリフは脆弱性の分類と調整された公開、追加的な脆弱性探索を支援している。
現在30件を超えるオープンソースプロジェクトがプログラム参加の意向を示した。初期参加プロジェクトにはインターネットデータ転送ツールcURL、オープンソースプログラミング言語GoとPython、ソフトウェアの出所と完全性を検証する「シグストア(Sigstore)」、Python向け暗号ライブラリpyca/cryptographyなどが含まれた。参加プロジェクトにはChatGPTプロ利用権限と条件付きコーデックスセキュリティ利用権限、中核的な開発・保守業務の自動化と配布のためのAPIクレジットが提供される。
オープンAIはサイバーセキュリティ能力がさらに強化されたAIモデルの登場に備え、米国政府と連邦機関はもちろん各国の政府・機関とも協力している。1カ月の間に韓国、オーストラリア、カナダ、フランス、ドイツ、日本をはじめ、欧州連合サイバーセキュリティ庁(ENISA)などEU機関と「トラステッド・アクセス・フォー・サイバー(Trusted Access for Cyber)」パートナーシップを構築した。
オープンAIはデイブレイクを通じて、最先端モデルとコーデックスセキュリティ、パッチ・ザ・プラネット、専門研究者、オープンソースメンテナー、セキュリティパートナー、基幹インフラ運用機関および信頼ベースのアクセス制御を一つに結び付け、防御側がサイバーセキュリティ脅威に対応できるよう支援する方針だ。
オープンAIは「究極的な目標はAIモデルを活用してより多くの脆弱性を見つけることにとどまらず、より安全なソフトウェアと強固なサイバー復元力を備えた環境へ向かうことだ」と明らかにした。