AIが脆弱性を見つけすぎて手修正はもう無理！ OpenAIがGPT-5.5-Cyberで自ら解決へ

Codex Security

　近年、最先端のAIモデルの登場により脆弱性の発見が加速している。これまでは脆弱性発見の速度がボトルネックだったが、今は発見された脆弱性に対して防御する側の速度がボトルネックとなってしまい、脆弱性レポートだけでは誰も守れない時代が来ている。

　そういった中、米OpenAIは6月22日(米国時間)、サイバー攻撃から保護するための包括的な取り組み「Daybreak」を発表した。脆弱性の発見から修正パッチの適用までのプロセスを自動化して加速させることを目的としており、専用AIモデル「GPT-5.5-Cyber」のフルバージョン提供や、「Codex Security」プラグインの刷新などが含まれる。

　Daybreakは同社の最先端のサイバーセキュリティ機能を結集したもので、セキュリティ防御担当者が、既存のセキュリティおよび開発ワークフロー内における脆弱性を検証して、リスクの優先順位付けを行ない、修正プログラムの作成やテスト、証拠を生成できるように支援するもの。具体的には以下のツールが含まれる。

発見から修正までを自動化する「Codex Security」

　「Codex Security」は、Codexに直接統合され、開発者の傍らでセキュリティエンジニアのように振る舞うプラグイン。アラート生成だけでなく、コードと脅威モデルを理解し、可能性のある脆弱性の特定、検証手順の証拠収集、対象を絞ったパッチの開発検証などを行なう。

　3月に研究プレビュー版としてリリースし、これまで3万以上のコードベースにわたって、3,000万件以上のコミットをスキャンし、人間レビュー担当者が7万件以上の不具合を修正済みとして手動でマークし、50万件以上の不具合を自動的に修正したという。

セキュリティ特化型AIモデル「GPT-5.5-Cyber」

　「GPT-5.5-Cyber」は、GPT-5.5の汎用的な推論能力を維持しつつ、ソフトウェアの脆弱性発見やパッチ適用の支援に最適化されたモデル。展開に向け、米国政府と対話を進めてきたほか、AI標準・イノベーションセンター(CAISI)と継続的な協力、国家サイバーセキュリティ局(ONCD)、科学技術政策局(OSTP)などと取り組んできたという。

　既知の脆弱性を再現する能力を測るセキュリティベンチマークCyberGymにおいて85.6%の精度を達成し、ベースモデルであるGPT-5.5(81.8%)を上回った。また、動作するエクスプロイトを作成するExploitGymでは39.5%(GPT-5.5は25.95%)、長期的な脆弱性発見を評価するSEC-bench Proでは69.8%(同63.1%)と優秀な成績を残した。

CyberGym

ExploitGym

SEC-bench Pro

パートナーシップおよびオープンソース支援

　同社は展開の拡大に伴い、「Daybreak サイバーパートナープログラム」を始動。アクセンチュア、Akamai、Cisco、CrowdStrike、IBM、Sophos、ソフトバンクなどと提携し、各社の製品に「GPT-5.5 with Trusted Access for Cyber」を組み込んで提供する。

　さらに、Trail of BitsやHackerOne、Califらと共同で、オープンソースプロジェクトのメンテナーを支援するイニシアチブ「Patch the Planet」も設立した。参加プロジェクトにはChatGPT ProやCodex Securityへのアクセス権、APIクレジットなどが提供され、パッチ適用負担を大幅に軽減できるとしている。