OpenAI Daybreak と GPT-5.5-Cyber のリリース
OpenAI Daybreak と GPT-5.5-Cyber のリリース
OpenAI は Daybreak イニシアチブを拡大し、脆弱性発見から自動パッチ適用へとサイバーセキュリティのボトルネックをシフトさせました。新しい GPT-5.5-Cyber モデル、Codex Security プラグイン、そして「Patch the Planet」オープンソースイニシアチブを組み合わせることで、OpenAI は機械速度で重要なソフトウェア欠陥を検出・修正する能力を民主化することを目指しています。
GPT-5.5-Cyber: 高性能セキュリティモデリング
GPT-5.5-Cyber は、先進的かつ認可されたサイバーセキュリティ作業向けに設計された GPT-5.5 の専門版です。セキュリティワークフローでの不要な拒否を減らすために汎用モデルよりも許容範囲が広く、依然として高い汎用知能を保持しています。
パフォーマンスベンチマーク
GPT-5.5-Cyber は、いくつかの主要なセキュリティベンチマークで最先端の性能を示しています。
- CyberGym: 単一モデル評価で 85.6% を達成し、GPT-5.5 の 81.8% を上回りました。
- ExploitGym: 既知の脆弱性を実際に動作するエクスプロイトに変換する成功率が 39.5% で、GPT-5.5 の 25.95% を大きく上回ります。
- SEC-bench Pro: 長期的な脆弱性発見と概念実証生成で 69.8% を記録し、GPT-5.5 の 63.1% を上回ります。
アクセスとガバナンス
GPT-5.5-Cyber へのアクセスは「信頼できる防御者」へ限定されたリリースを通じて制限されています。このゲート付きアクセスは、より強固な検証、モニタリング、スコープ制御と組み合わされています。ほとんどの防御ワークフローに対しては、OpenAI は「Trusted Access for Cyber」を備えた GPT-5.5 の使用を推奨しています。
Codex Security: 修復ループの自動化
Codex Security は、セキュリティエンジニアの能力を開発者のワークフローに直接統合するよう設計されています。単に問題を警告するだけでなく、ツールは脆弱性の特定、到達可能性の判断、検証証拠の収集、そして対象パッチの生成というフル修復ループを管理します。
主な機能と指標
2023 年 3 月のリサーチプレビュー以降、Codex Security は 30,000 のコードベースにわたって 3,000 万件以上のコミットをスキャンしました。人間のレビュアーは 70,000 件以上の検出結果を「修正済み」とマークし、さらに 500,000 件以上が自動的に修正済みと判定されました。
更新された Codex Security プラグインは以下をサポートします:
- Deep Scans: コードベース全体、特定のサブセット、または個別のコミットに対してスキャンを実行できる機能。
- Triage and Validation: バグバウンティレポート、アドバイザリ、その他のスキャナからの既存検出結果を処理。
- Integration: SARIF ファイル、CodeQL クエリ、そして Codex CLI との統合による結果のエクスポート。
Patch the Planet: オープンソースの保護
Patch the Planet は、Trail of Bits、HackerOne、Calif と共同で設立された協働イニシアチブで、オープンソースメンテナに支援を提供します。多くの重要プロジェクトが小規模チームで管理されているため、同イニシアチブは Codex Security を装備した専門的なセキュリティ研究者を提供し、脆弱性の検証と重複排除のエンドツーエンドプロセスをメンテナに届く前に処理します。
30 以上のオープンソースプロジェクトが参加を約束しており、主な例は次のとおりです:
- cURL
- Go
- Python
- Sigstore
- pyca/cryptography
エコシステムと政府との協業
OpenAI は Daybreak Cyber Partner Program を実施し、CrowdStrike、Palo Alto Networks、Zscaler などの主要なセキュリティソフトウェアベンダーが GPT-5.5 と Trusted Access for Cyber を自社製品に統合できるようにしています。
さらに、OpenAI は米国政府(CAISI、ONCD、OSTP を含む)およびオーストラリア、カナダ、フランス、ドイツ、日本、韓国、EU(ENISA など)の国際パートナーと協力し、重要インフラを保護するとともに、これらの機能の展開が業界標準や大統領令に沿うよう取り組んでいます。
コミュニティの視点と批判
技術ユーザー間の議論は、これらのツールの能力とアクセス可能性の間に緊張があることを浮き彫りにしています。
アクセス制限
多くのユーザーは「信頼できる防御者」要件に不満を示し、支払った顧客は自分たちのソフトウェアを保護するために最高のセキュリティモデルへのアクセスを持つべきだと主張しています。あるユーザーは次のように述べています:
"Anthropic にも OpenAI にもお金を払っているのに、どちらも自分のソフトウェアを保護するために最高のモデルを使わせてくれないのはやや不公平だと思います。"
「Trusted」ステータスへの懐疑
一部の批評家は「trusted defenders」という用語を制限的または政治的動機があると見なし、最先端のセキュリティモデルへのアクセスが米国政府と OpenAI によって厳しく管理されていると指摘しています。
実用的な有効性
アクセスに関する懸念があるものの、Codex Security プラグインで好結果を得たユーザーもいます。あるユーザーは、スキャンがプロジェクト内の実際のセキュリティ問題を非常に少ない誤検知で見つけたと共有していますが、セッション制限と再開メカニズムにいくつかの安定性問題があることも指摘しています。
SUMMARY: OpenAI は Daybreak と呼ばれるサイバーセキュリティツール群(GPT-5.5-Cyber モデルと Codex Security プラグインを含む)を立ち上げ、信頼できる防御者とオープンソースプロジェクト向けに脆弱性のパッチ適用を加速させました。
TITLE: OpenAI Daybreak と GPT-5.5-Cyber のリリース