OpenAI Daybreakが脆弱性を自動検出:GPT-5.5-CyberとCodex Securityの全貌
OpenAIがAIセキュリティプラットフォームDaybreakをリリース。GPT-5.5-CyberとCodexで脅威モデル構築から修正検証まで自動化。Claude Mythosへの対抗馬。
2026年5月12日、OpenAIはAIサイバーセキュリティイニシアチブ「Daybreak」を発表した。組織のコードを分析して脆弱性を自動検出・検証・修正するこのプラットフォームは、Anthropicが4月に発表したClaude Mythos(Project Glasswing)への直接の対抗馬となる。AIモデル企業同士の戦場がチャットボットからセキュリティへと拡大したことを示す重要な動向だ。
本記事では、Daybreakの機能と仕組み、GPT-5.5-Cyberの役割、そしてClaude Mythosとの比較を解説する。
Daybreakとは何か
Daybreakは、OpenAIが3月にローンチしたCodex Security AIエージェントを基盤とするセキュリティプラットフォームだ。主な機能は以下の3つに集約される。
- 脅威モデルの自動構築:組織のリポジトリを分析し、編集可能な脅威モデルを生成する
- 攻撃経路の特定:現実的な攻撃パスに焦点を当てて脆弱性を絞り込む
- 修正の自動検証:隔離環境でパッチが正しく機能するか検証する
従来のセキュリティスキャナーが既知の脆弱性パターンを照合するのに対し、Daybreakはコードの文脈を理解し、論理的にあり得る攻撃シナリオを構築する点が根本的に異なる。
GPT-5.5-Cyberが果たす役割
Daybreakの中核を担うのは、GPT-5.5-CyberとTrusted Access for Cyber(TAC)の2つのコンポーネントだ。
GPT-5.5-Cyber
GPT-5.5-Cyberは5月第1週にロールアウトが開始された、サイバーセキュリティ用途に特化したモデル。一般向けのGPT-5.5がセキュリティ関連タスクに制限を設けているのに対し、GPT-5.5-Cyberはペネトレーションテストやマルウェア解析などのセキュリティワークフローに対してより許容的な動作をするようチューニングされている。
OpenAIは、GPT-5.5-Cyberが1,500以上の歴史的脆弱性(数百のオープンソースプロジェクト由来)で構成されるベンチマークで評価されていると述べている。前身のGPT-5.4-Cyberはすでに実際の脆弱性修正に貢献した実績がある。
Trusted Access for Cyber(TAC)
TACは、GPT-5.5-Cyberへのアクセスを管理する階層型の認可制度だ。アクセスは3つのティアに分かれている。
- Tier 1:審査済みのセキュリティ研究者向け。最も制限の緩いモデルを利用可能
- Tier 2:CiscoやCrowdStrikeなどの提携企業のセキュリティチーム向け
- Tier 3:重要インフラの承認済みディフェンダー向け。最も高性能だが最も制限が厳しい
この段階的なアクセス制御は、セキュリティ能力の悪用を防ぐための措置である。
Claude Mythos(Project Glasswing)との比較
Daybreakの発表は、Anthropicが4月上旬に発表したClaude Mythosと直接競合する。
AnthropicのClaude Mythosは、セキュリティ特化型のAIモデルとして「公開には危険すぎる」とされ、Project Glasswingという非公開イニシアチブの一部として限定的に共有された。しかし、一部の未承認の第三者がアクセスを得たことも報じられている。
両者の主な違いは以下の通りだ。
| 項目 | OpenAI Daybreak | Anthropic Claude Mythos |
| 公開形態 | プラットフォームとして公開 | 非公開・限定的共有 |
| 基盤モデル | GPT-5.5-Cyber + Codex | Claude Mythos |
| アクセス管理 | TAC(3段階) | Project Glasswing(非公開) |
| 悪用防止 | 段階的アクセス制御 | モデルの非公開化 |
OpenAIはDaybreakをプラットフォームとして公開し、アクセス管理で悪用を防ぐ戦略を取った。一方、Anthropicはモデルそのものを非公開にするという保守的なアプローチを選んだ。この違いは、AIセキュリティのあり方そのものに影響を与える議論の的となるだろう。
企業がDaybreakを導入すべき理由
セキュリティテストの高速化
従来、ペネトレーションテストは熟練のセキュリティエンジニアが手動で実行する時間のかかる作業だった。Daybreakは攻撃経路の特定から検証までを自動化し、セキュリティチームがより戦略的なタスクに集中できるようにする。
攻撃者より先に脆弱性を見つける
Googleの報道によると、犯罪ハッカーが既にAIを使って主要なソフトウェアの脆弱性を発見している。防衛側もAIを使わなければ、非対称な戦いになる。Daybreakは「攻撃者が見つける前に脆弱性を修正する」というセキュリティの基本原則をAIで実現する。
導入のハードル
ただし、Daybreakの利用には審査が必要で、現在は限定的なロールアウト段階だ。日本のセキュリティチームがアクセスを得るには、OpenAIのTACプログラムへの申請が必要になる。
今後の展望
OpenAIは、業界・政府パートナーと協力しながら「よりサイバー能力の高いモデル」の展開を準備していると述べている。AIセキュリティ分野は、OpenAIとAnthropicの直接対決の場として急速に発展していく可能性が高い。
企業のセキュリティ担当者は、DaybreakとMythosの両アプローチを注視すべきだ。AIによる脆弱性検出が主流になれば、セキュリティエンジニアリングの手法そのものが変わる。