OpenAIは、AIが発見するゼロデイ脆弱性に対する防御を強化するため、GPT-5.3-Codexを基盤とした先駆的な本人確認済みフレームワーク「Trusted Access for Cyber」を開始しました。
この取り組みは、最近のベンチマークで同様のモデルが十分にテストされたオープンソースのコードベースから500件を超える高深刻度のバグを発見したことが示すように、脆弱性ハンティングにおける大規模言語モデル(LLM)の急速な進化に対抗するものです。
GPT-5.3-Codexは、人間のような推論とエージェント型ワークフローを通じて、コードベース全体のスキャン、攻撃ベクトルのシミュレーション、修正スクリプトの生成に優れています。
ランダム入力に依存する従来のファザーとは異なり、コミット履歴を分析し、未チェックのstrcat操作のような危険なパターンを見つけ、精密な概念実証を構築し、誤検知を40%削減して静的解析ツールを上回ります。
初期テストは、GhostScriptやOpenSCのようなプロジェクトでの結果を反映しており、LLMが何百万時間ものファザー実行でも見逃されていた数十年前のメモリ破壊を特定しました。
セキュリティチームは、常時の監視なしに、ファジング、IOC相関、CVSS優先順位付けといったタスクを連鎖させながら、数時間から数日間の自律運用を得られます。
Trusted Accessは厳格な検証を実施します。個人はchatgpt.com/cyberでKYCを通じて、企業は監査ログ付きでOpenAI担当者経由で、研究者は招待制プログラムで参加します。
禁止行為には、データ流出、マルウェア展開、無許可のペンテストが含まれ、1,000万件超の敵対的プロンプトによる拒否学習、回避検知のためのリアルタイム分類器、異常監視によって支えられています。
このデュアルユース緩和策は、脆弱性に関する問い合わせがペンテスターや攻撃者を助け得るといった曖昧さに対処しつつ、防御側にとっての摩擦を最小化します。
OpenAIは、オープンソースおよび重要インフラのチーム向けに、サイバーセキュリティ助成プログラムを通じて1,000万ドル相当のAPIクレジットを提供すると約束しています。
LLMがゼロデイ発見で人間の速度を上回る中、Trusted Accessは、広く使われるオープンソースプロジェクトにおける安全なコード修正を優先することで、防御側に有利に働くようにします。
LLM規模のバグ量が増える中で、90日ウィンドウを超える開示規範の進化に向けた前例を示します。
OpenAIは、革新と責任を両立させることで、サイバーセキュリティのリーダーとしての立場を打ち出しています。同社のセキュリティ責任者は「AIは敵に武器を与えることなく、サイバー防御を強化しなければならない」と述べています。
今後の更新は、パイロットからのフィードバックに基づいて洗練され、能力の進展に合わせてセーフガードを拡張していく予定です。
翻訳元: https://cyberpress.org/claude-opus-4-6-released/