ソフトウェアの脆弱性対応は、長年「リリース後にパッチを当てる」流れが主流でした。2026年5月11日、OpenAIはサイバー防御向けプラットフォーム「Daybreak」を発表し、開発の初期段階からセキュリティを組み込む方針を打ち出しました。GPT-5.5とCodex Securityを軸に、脅威モデル作成から修正検証までを一連のワークフローとして提供します。
この記事では、Daybreakの位置づけ、主な機能、利用できるモデル、申し込み方法を整理します。
この記事でわかること
- Daybreakが何を解決するプラットフォームか
- Codex Securityを中心とした脆弱性発見から修正までの流れ
- GPT-5.5、Trusted Access for Cyber、GPT-5.5-Cyberの使い分け
- 申し込み方法と、Anthropic Project Glasswingとの関係
Daybreakは開発ループにセキュリティを埋め込む
OpenAIはDaybreakを「ソフトウェアの作り方と守り方を変える」取り組みと位置づけています。公式サイトでは、脆弱性を見つけて直すだけでなく、設計段階から耐性を持たせる「resilient by design」を目標に掲げています。
具体的には、セキュアコードレビュー、脅威モデリング、パッチ検証、依存関係リスク分析、検知、修正ガイダンスを日常の開発ループに組み込む、と説明されています。MacRumorsの報道でも、AnthropicのProject GlasswingやMythosモデルへの対抗策として紹介されており、フロンティアAI企業同士がサイバー防御領域で競争を深めている状況がうかがえます。
背景はGPT-5.4-CyberとCodex Security
Daybreakは単体の新モデルではなく、既存のサイバー向け取り組みの上に構築されています。OpenAIは2026年4月にGPT-5.4-Cyberを公開し、3,000件超の脆弱性修正に貢献したと述べています。中核となるCodex Securityは、2026年3月6日にリサーチプレビューとして公開されたアプリケーションセキュリティエージェントで、旧称はAardvarkです。
Codex Securityの設計思想は、静的解析(SAST)レポートの取り込みから始めるのではなく、リポジトリの構造と意図から脅威モデルを組み立てる点にあります。OpenAIの技術ブログでは、SAST出力を起点にするとエージェントが「調査」ではなく「確認か却下か」に寄りやすく、誤検知の整理負荷が増えると説明されています。Daybreakは、このCodex Securityを企業向けの運用基盤として拡張したものです。
脆弱性対応の流れは4段階
Daybreakのワークフローは、Codex Securityの機能を軸に整理できます。
まず、接続したソフトウェアリポジトリを解析し、編集可能な脅威モデルを生成します。エントリポイント、信頼境界、認証の前提など、プロジェクト固有の攻撃面を記述した文脈がスキャンの土台になります。チームはこのモデルを手直しし、エージェントの優先順位付けを自分たちのリスク感覚に合わせられます。
次に、脅威モデルを文脈に脆弱性を探索し、実世界での影響度で分類します。疑わしい箇所は隔離されたサンドボックス環境で検証し、誤検知を減らします。Infosecurity Magazineの報道では、Codex Securityが10個のサブエージェントでコードベースを走査し、修正と回帰テスト追加まで行うユースケースも紹介されています。
最後に、Codexが修正案を提示し、人間のレビューを経てリポジトリに反映します。検証結果は監査用の証跡としてエクスポートでき、修正の追跡にも使えます。SC Mediaの取材では、CrowdStrikeがAnthropicとOpenAI双方のモデルをCharlotte AI AgentWorksで組み合わせ、顧客がカスタムセキュリティエージェントを構築できると紹介されています(参考)。
3段階のモデルアクセスで用途を分ける
Daybreakでは、用途に応じて3種類のモデルアクセスを選べます。
| モデル | 制限の強さ | 想定用途 |
|---|---|---|
| GPT-5.5(標準) | 汎用向けの標準セーフガード | 一般的な開発・知識作業 |
| GPT-5.5 with Trusted Access for Cyber | 検証済み防御環境向けの精密なセーフガード | セキュアコードレビュー、脆弱性トリアージ、マルウェア分析、検知エンジニアリング、パッチ検証 |
| GPT-5.5-Cyber | 専門ワークフロー向け。検証とアカウント制御が強化 | 許可されたレッドチーミング、ペネトレーションテスト、制御下での検証(プレビュー) |
Trusted Access for Cyber(TAC)は2026年2月5日に導入されたアクセス管理枠組みで、サイバー能力の高いモデルを防御目的の検証済み組織に限定提供する仕組みです。DaybreakはTACを土台に、開発ライフサイクル全体へ防御を前倒しする方向へ広げています。
同じ能力は攻撃側にも転用されうるため、OpenAIは「信頼・検証・比例したセーフガード・説明責任」をセットで強調しています。サム・アルトマンCEOは、できるだけ多くの企業と協力し、ソフトウェアを継続的に守りたいと述べています(MacRumors)。
申し込みはスキャン依頼か営業窓口
Daybreakは一般公開のセルフサービスではありません。OpenAI公式サイトから「Request a vulnerability scan(脆弱性スキャンの依頼)」または「Contact sales(営業への問い合わせ)」で申し込みます。料金は公開されておらず、MacRumorsの報道でも価格表は掲載されていません。
今後数週間で、産業界・政府のパートナーと連携し、よりサイバー能力の高いモデルを段階的に展開する予定です。Codex Security単体は、ChatGPT Pro、Enterprise、Business、Edu向けにリサーチプレビューとして提供され、公開当初は1か月無料でした。Daybreakはその上に、パートナー連携と企業向け運用を載せた上位の取り組みと捉えると整理しやすいです。
既存ツールとの違いと実務での意味
MarkTechPostの解説では、SnykやSemgrepが静的解析やソフトウェア構成分析を担うのに対し、Daybreakはリポジトリ全体の文脈推論とサンドボックス検証に重心を置く、と整理されています(参考)。Trail of BitsやSpecterOpsといったセキュリティ企業もパートナーに名を連ねています。
開発チームにとっての実務的な変化は、セキュリティレビューが「リリース前のゲート」から「コミットごとの継続プロセス」へ移りやすくなる点です。Codex Securityのベータでは、外部リポジトリで30日間に120万コミット超をスキャンし、重大(critical)792件、高(high)1万561件を検出したとOpenAIは報告しています。重大問題はスキャンしたコミットの0.1%未満にとどまり、ノイズを抑えつつ影響の大きい問題に絞る設計を示しています。
一方、AIによる脆弱性発見の加速は、CVEの増加や誤検知の整理負荷といった課題も生みます。SC Mediaでは、発見された脆弱性を実際のビジネス影響で優先順位付けし、適切な担当者へ速やかに届けるプロセスが不可欠だ、という指摘が紹介されています。Daybreakは発見速度を上げる道具であり、社内の開示・修正フローが追いつかなければ効果は半減します。
競合動向と導入を検討する視点
AnthropicのProject Glasswingには、Apple、Microsoft、Google、Amazonが参加しているとMacRumorsが報じています。OpenAI Daybreakは同じ「AIで防御を強化する」潮流への参入であり、どちらも完全な自助ツールではなく、審査付きの協業プログラムとして展開されています。
導入を検討する組織は、まず自社リポジトリの規模と既存のSAST・DAST体制を棚卸しするのが現実的です。Daybreakは既存ツールの置き換えというより、文脈推論と検証でトリアージ負荷を下げる層として設計されています。申し込み前に、GitHub連携の可否、人間レビューの体制、修正パッチのマージフローを確認しておくと、スキャン依頼後の運用がスムーズです。
Cloudflare CTOのデーン・クネヒト氏は、フロンティアモデルをセキュリティワークフローに組み込むことで、開発速度とセキュリティ姿勢の両方を改善できる可能性がある、とOpenAI公式サイトでコメントしています。AIエージェントがコード生成を加速させる今、レビューのボトルネックを塞ぐ方向への投資は、開発現場の待ち時間削減にも直結します。