OpenAIは、最先端の大規模言語モデル(LLM)とAIコーディングアシスタントCodexに基づいた新しいイニシアティブ「Daybreak」を発表しました。このイニシアティブは、開発者がゼロからセキュアなソフトウェアを構築するのを支援します。
5月12日に発表されたDaybreakは、OpenAIのサイバーセキュリティ向けトラステッドアクセス(TAC)プログラムから発展しました。これは、特定の最先端モデルへのアクセスを選定された組織に限定するスキームです。
このイニシアティブには、OpenAIの最新3つのモデルが含まれています:汎用版GPT-5.5、より精密なセーフガード機能を提供する認可環境での防御作業向けGPT-5.5 with TAC、およびGPT-5.5-Cyberです。さらに、Codexa基づくコードレビューアシスタント「Codex Security」も含まれており、現在は研究プレビューとしてのみ利用可能です。
TACプログラムは主に検証済みユーザーが脆弱性を特定・修正するためにLLMを活用することに焦点を当てていますが、Daybreakはソフトウェア開発ライフサイクルの初期段階から脆弱性の問題に取り組むことを目指しています。
Infosecurityに語ったAvatrixのクラウドネイティブセキュリティファブリック担当SVP兼GMのWillie Tejadaは、OpenAIのプレスリリースが意図的に広くまとめられている理由は、Daybreakが「モデルアナウンスメントではなく、プラットフォーム戦略」だからだと説明しました。
彼によると、このイニシアティブはサイバーディフェンダーが3つのことを実現するのを支援することを目指しています。具体的には、現実的な攻撃パスに焦点を当てたコードリポジトリの編集可能な脅威モデルを構築し、隔離された環境で脆弱性を検出・テストし、リポジトリ内で直接パッチを提案・検証することです。
「このプログラムは、数時間かかる手動セキュリティ分析を数分に圧縮することができます」とTejadaは付け加えました。
- Codex Securityの10個のサブエージェントを使用してコードベースをスキャンし、脆弱性を特定して修正し、リグレッションテストを追加する
- 脆弱性バックログをトリアージし、修正すべき脆弱性を優先順位付けし(例:重大度、影響、悪用可能性により)、プルリクエストを開くエージェントをデプロイする
- 脆弱性検出、検証、対応を自動化する(例:最新のCVEを検索し、エージェントをデプロイしてビジネスへの影響を調査し、悪用の証拠をログで検索する)
「目標はシンプルです:サイバーディフェンダーを加速させ、ソフトウェアを継続的にセキュアにすることです」とOpenAIのアナウンスメントは述べています。「これらの機能は悪用される可能性があるため、Daybreakは拡張された防御機能と、信頼、検証、均衡のとれたセーフガード、説明責任を組み合わせています。」
Tejadaによると、Daybreakは「GitHub Copilotがコーディングアシスタント市場を支配したのと同じように、セキュリティ開発者ツールチェーンを支配しようとするOpenAIの試み」です。
同社はまた、業界およびガバメントパートナーと協力して、新しい「サイバー対応モデル」をまもなくデプロイすることを発表しました。
2026年5月現在、OpenAIのTACプログラムには数百の組織と「数千人の個々のディフェンダー」が参加していると同社は述べています。
これらには、Akamai、Cisco、Cloudflare、CrowdStrike、Fortinet、NVIDIA、Oracle、Palo Alto Networks、Sophos、ZscalerなどのIT・サイバーセキュリティ組織が含まれます。
TACはまた、特に金融および私募株式投資分野の大企業も含んでおり、Bank of America、BBVA、BlackRock、BNY、Citibank、Goldman Sachs、JPMorgan Chase、Morgan Stanley、US Bankなどが参加しています。
現在、米国AI標準・イノベーションセンター(CAISI)および英国AI Security Institute(UK AISI)のようなわずかな政府関連研究機関しかTACプログラムに参加していませんが、OpenAIは5月初旬にさらに多くの政府機関への拡大意向を確認しました。
CiscoのSVP兼最高セキュリティ・信頼責任者であるAnthony Griecoは、GPT 5.5のような最先端モデルが「ディフェンダーにとって強力な力の乗数」であると考えています。
「これらは、インシデント調査から主動的な脆弱性削減まで、あらゆることにおいて、私たちの運用の速度を根本的に変えており、より速く動くことを可能にしています」と彼は述べました。
「しかし、速度と信頼のバランスを取る必要があります。このテクノロジーの真の価値はモデル単独にはなく、それを取り巻くエンタープライズ対応フレームワークにあります。より安全な製品を作るのに役立つフレームワークです。私たちの焦点は、これらの新しい機能を使用して、セキュアな開発・運用プロセスを変革することです。私たちにとっては、信頼性と同じくらい速いイノベーションを実現することが重要です。」
専門家がAI駆動型脆弱性研究について懸念を表明
多くの専門家はDaybreakのローンチを、最先端のAIモデルを活用して脆弱性の修正とソフトウェア開発の他のタスクに役立てるための正しい方向への一歩と見なしていますが、これは多くの懸念も引き起こしました。
データセキュリティソリューションプロバイダーSentraのサイバーセキュリティエバンジェリスト、David Stuartは、最先端のAIエージェントの機能を活用するには、組織はこれらのシステムに環境へのアクセス権を付与する必要があると警告しました。
「これには、コードリポジトリ、インフラストラクチャ構成、ビルドパイプラインが含まれる可能性があります。これらのツールを導入する前に、組織はこれらの環境にどのような機密データがあり、AIエージェントとやり取りするのに十分に管理されているかを理解する必要があります」と彼は述べました。
「これらのツールを有用にするのと同じアクセスが、これらをデータ攻撃サーフェスの一部にします。このガバナンス作業は、エージェントがデプロイされる前に実行される必要があります。」
一方、AppSecカンパニーXint.ioの脆弱性研究者かつCTOのAndrew Wesieは、脆弱性研究者はOpenAIやAnthropicのようなGenAI企業からのセキュリティオファリングの詳細を把握することを確認する必要があると述べました。そうしないと、彼らは高額なエコシステムに陥る可能性があります。
「例えば、[Daybreak]の評価中にどれだけのトークンが消費されるのか、偽陽性率はどのくらいか、数百万行のコードを持つエンタープライズコードベースの価格設定はどうなるのか。この情報がなければ、チームが単一のモデルの周りにAppSecパイプラインを構築するかどうかは判断しにくいです」と彼は注意を促しました。
多くの人々は、AI駆動型脆弱性研究の民主化を歓迎すべきものと考えています。しかし、Taniumの脅威研究・インテリジェンス責任者であるMelissa Bischopingは、これが「修復の周りのボトルネックを締め付ける」ことも警告しました。
ソフトウェア企業が「前例のないペース」でバグ修正を検出・開発しても、ソフトウェアの利用者は必ずしもパッチをデプロイする準備ができているとは限りません。
「今日、多くの組織はいまだに過去数年のスケールで月1回のパッチングという『古い方法』に苦しんでいます。その時代は終わり、この時代のためにパッチングシステムを再考し、再構築する必要があります」と彼女は述べました。
彼女は、バグが発見されるにつれて、パッチ管理チームが「週に数十または数百のマイクロパッチ」に対処しなければならないと主張しました。
AI ワークフロー向けに設計されたデータセキュリティソリューションを提供するProtegrityのシニアプロダクトセキュリティアーキテクトであるClyde Williamsonは、脆弱性を見つけることはこれまで以上に簡単な問題ではなく、優先順位付けが重要であると指摘しました。
この記事は5月13日に、サイバーセキュリティ専門家のコメントを追加するために更新されました。
画像クレジット:Thrive Studios ID / TY Lim / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/openai-daybreak-secure-by-design/
