AIがコードを書く速度が上がるほど、見逃される欠陥も同じ速度で増えていく。調査会社は、AIが生んだソフトウェアの欠陥が2028年までに大きく膨らむと警告する。ならば欠陥を見つける側もAIにすればいい——OpenAIが2026年5月に公開した「OpenAI Daybreak」は、その発想を形にしたAIサイバーセキュリティの取り組みだ。これは「AIを守る」話ではなく「AIに脆弱性を見つけさせる」側のAIセキュリティだと、まず押さえてほしい。そして本当に新しいのは検出精度ではなく、1つのモデルを賢さではなく“与える許可”で3層に切り分けた設計にある。
まず登場人物を3つに分ける──傘・実行役・頭脳
出てくる名前を3つだけ先に整理しておく。入れ子なのか並列なのかで、最初につまずきやすいからだ。
- Daybreak=傘。脆弱性をAIに探させ・検証させ・修正案まで出させる、取り組み全体の総称。
- Codex Security=実行役。リポジトリを読んで脆弱性を実際に探す「エージェントの実行基盤」(AIに一連の作業手順を担わせる土台)。2026年3月から公開済みで、Daybreakより先に動いていた。
- GPT-5.5の3層=頭脳。脆弱性を判断するモデルで、後述のとおり“許可”で3つの層に分かれる。
つまりDaybreakという傘の下に、既存の実行役(Codex Security)と頭脳(GPT-5.5系)が収まっている。「Codex Securityが中心」と「3層が新しい」は矛盾しない——前者は“動かす仕組み”、後者は“何が新規か”の話で、指しているものが違う。傘の中で本当に新しいのは、頭脳を3層に切った権限設計のほうだ。
探して、確かめて、直すまでをAIが回す
実行役のCodex Securityは3段階で動く。まず Discovery(発見) で対象リポジトリを読み込み、そのコード固有の文脈に照らして脆弱性を洗い出す。汎用パターンの照合ではなく、リポジトリ固有の文脈で見るのが特徴だ。次の Validation(検証) では、確度の高い問題だけを隔離環境(本番から切り離した検証専用の環境)で実際に再現し、本物かどうかを確かめてから表に出す。最後の Remediation(修正) は、GitHub上でレビューできる修正案の提示にとどまる。AIが勝手に本番コードを書き換えるのではなく、根拠つきの下書きパッチを出すだけ、という設計だ。
机上の空論でないことは数字が示す。OpenAIの発表では、ベータ期間に約120万コミットを精査し、致命的792件・高10,561件を検出、うち14件はCVE(共通の脆弱性識別子)として登録された。ノイズを約84%、誤検知率を50%超下げたという。ここで効くのは一点——重大な欠陥を、人手のレビュー前提で大量に絞り込めたことだ。ただしいずれも自社公表値で、第三者検証はこれからだという前提で読みたい。
賢さではなく「許可」を3層に切る
Daybreak最大の新しさは、同じGPT-5.5を能力で分けず、“何をやってよいか(許可)”で3層に切り分けたことだ。違いは表で見ると早い。
| 層 | 呼び名 | 誰に開くか | できること |
|---|---|---|---|
| Tier 1 | GPT-5.5(標準) | 全員 | 特別な権限なしの一般利用 |
| Tier 2 | GPT-5.5 + Trusted Access for Cyber | 身元確認された防御側 | コードレビュー・脆弱性の優先度づけ・パッチ検証など「守り」の作業 |
| Tier 3 | GPT-5.5-Cyber | 限定プレビュー | 認可された攻撃的検証(管理下でのペネトレーションテスト=許可を得た擬似攻撃)まで |
全層に共通して、認証情報の窃取・痕跡隠し・許可なき攻撃は禁じられている。Tier 2を開く鍵が「Trusted Access for Cyber」で、これが身元確認の制度名にあたる。
面白いのはTier 3の素性だ。名前から「攻撃に強い特別モデル」を想像するが、OpenAIの説明では、GPT-5.5-Cyberは能力そのものを大きく引き上げたわけではない。狙いはセキュリティ作業に対してより許容的に振る舞わせること——「賢くした」のではなく「許可の範囲を広げた」モデルだ。AIへの関心が“どれだけ賢いか”から“何をやらせ、何をやらせないか”へ移りつつある表れと言える。
人間12時間の作業を10分で——第三者が確かめた実力
実力は外部も検証している。象徴的な数字を一つ。単発の脆弱性課題で、人間の専門家なら約12時間かかる作業を、GPT-5.5は約10分22秒・1.73ドルで片づけた例が報告されている。
土台はイギリスのAI Safety Institute(UK AISI)の評価だ。95問の評価のうち専門家級タスクでGPT-5.5は71.4%(±8.0%)を記録し、AISIは「これまで試した中で最も強いモデルかもしれない」と結んだ。ただし万能ではない。32手順におよぶ企業ネットワーク侵入の模擬試験では10回中2回しか完遂できず、産業制御系の課題は全モデルが未達成だった。単発の課題では人間を大きく上回り、多段の実戦タスクではまだ取りこぼす——強い数字と弱い数字を並べて読むのが正確だ。
権限を「ファイルで宣言する」という発想
この「権限つきAI」は、抽象論ではなくファイルに書き下せる。3層モデル本体の権限制御はOpenAIの管理下にあって非公開だが、その下層にあたるCodex CLI/Enterpriseの管理ポリシーは公式ドキュメントで公開されている。抜粋で雰囲気を見てみる。
# Codex CLI / Codex Enterprise の管理ポリシー(抜粋・概念用)
# 中核概念:AIエージェントに「何を・どこまで許すか」をファイルで宣言する
# 承認ポリシー: 危険な操作の前に人間の承認を挟むか (untrusted / on-request / never)
approval_policy = "on-request"
# サンドボックスの書き込み範囲: 作業ディレクトリ内に限定する
sandbox_mode = "workspace-write"
[features]
browser_use = false # エージェントによるブラウザ操作を禁止
computer_use = false # 画面操作 (computer use) を禁止
in_app_browser = false # アプリ内ブラウザの利用を禁止
[experimental_network]
allowed_domains = ["api.openai.com"] # 通信を許可するドメインだけを列挙
denied_domains = ["*.internal.example"] # 明示的に遮断するドメイン
# [rules] の prefix_rules: コマンド先頭の語ごとにポリシーを当てる
# (例: rm を含む操作は承認必須にする。詳細キーは公式設定ドキュメント参照)
[rules]
prefix_rules = [{ prefix = "rm", action = "require-approval" }]
見えるのは、「権限つきAI」が、承認の挟み方(approval_policy)・書き込み範囲(sandbox_mode)・使える機能のオン/オフ([features])・通信先の許可リスト(experimental_network)といった具体的な設定項目に対応していることだ。なお、このTOMLはCodex CLI/Enterprise側の設定であって、3層モデルそのものの権限定義ではない(正確なキー名は公式の設定ドキュメントを参照)。役割は「同じ“権限を粒度で切る”考え方が、下層の設定にも一貫して現れている証拠」と捉えればいい。
ここはDaybreakを使えない人にも効く持ち帰りどころだ。自分が組むAIエージェントやCIに、どのコマンドを許し、どこで人間の承認を挟み、どのドメインへの通信を閉じるか——「権限の境界をどこに引くか」という問いは、限定プレビューに申請できるかどうかと関係なく、明日の設計に直結する。
Cloudflareの使い方と、もう一方の陣営
現場で一番厚い実例がエッジCDN大手のCloudflareだ。同社は自社のファイアウォールに集まる通信データ(telemetry)をDaybreakのスコアリングに供給し、「どの脆弱性が悪用されやすいか」の推定を強めている。守りの最前線で集めた生データを、AIの判断材料に流し込む使い方だ。同社CTOのDane Knechtは、推論とエージェント実行の組み合わせは産業の重要な前進だとコメントしている。
ほかにAkamai・Cisco・CrowdStrike・Palo Alto Networksなどが公式パートナーに名を連ねるが、こちらは今のところ社名が挙がっている段階だ。見逃せないのは、同じ問題を逆から解く陣営——AnthropicのProject Glasswing(グラスウィング)である。強力なモデル「Claude Mythos」を限定的にしか開かない方向で脆弱性発見に取り組み、申請制で権限を開くDaybreakとは対照的だ。ただ危機感は同じで、Anthropicは「この種のモデルの悪用を完全に防げる安全策を、自社を含めどの企業もまだ確立できていない」と明言している。しかもCisco・CrowdStrike・Palo Alto Networksは両陣営に名を連ねており、業界ぐるみでこの領域に張っているのが見て取れる。
次に問われるのは「何をやらせないか」
Daybreakの核心は、新しいモデルそのものよりも「同じモデルを許可のレベルで3層に切る」設計にある。脆弱性を狩るという派手な応用の裏で起きているのは、AIへの問いが「どれだけ賢いか」から「何をやらせて、何をやらせないか」へ移る変化だ。次に効いてくるAIセキュリティの勘所は、賢さ比べよりも「どこに権限の境界を引くか」だろう。あなたのシステムで、AIに渡してよいのはどこまでの“許可”だろうか。
参考文献
- OpenAI Codex Security 公式ドキュメント - Codex Security
- OpenAI 公式「Daybreak」ページ - Daybreak | OpenAI for cybersecurity
- OpenAI「GPT-5.5 with Trusted Access for Cyber」公式発表 - Scaling Trusted Access for Cyber with GPT-5.5 and GPT-5.5-Cyber
- OpenAI Codex Security リサーチプレビュー発表 - Codex Security now in research preview
- OpenAI Codex 設定ドキュメント(Advanced Configuration) - Codex Advanced Configuration
- OpenAI Codex Enterprise セットアップ - Codex Enterprise Setup
- MarkTechPost - OpenAI Introduces Daybreak
- The Hacker News(Codex Security ベータ実績) - OpenAI Codex Security scanned 1.2M commits
- The Hacker News(Daybreak ローンチ) - OpenAI Launches Daybreak for AI-Powered Vulnerability Detection
- UK AI Safety Institute 公式評価 - Our evaluation of OpenAI's GPT-5.5 cyber capabilities
- Help Net Security - OpenAI tunes GPT-5.5-Cyber for more permissive security workflows
- Kingy AI - OpenAI Daybreak Explained
- NeuralTrust - OpenAI Daybreak 分析
- MindFort - How good is GPT-5.5 for cybersecurity
- testingcatalog - OpenAI announces Daybreak initiative around Codex Security
- Anthropic - Project Glasswing
- Anthropic - Project Glasswing: An initial update
- Netwoven - AI Cybersecurity: Mythos and Daybreak
- CIO Dive - OpenAI Daybreak と cyber threats
- Infosecurity Magazine - OpenAI Daybreak Secure By Design