Interface Wire
2026/06/22 13:00

OpenAIのDaybreak、Codex Securityを「発見」から修正ワークフローへ進めた

OpenAIが6月22日に発表したDaybreakの拡張は、AIセキュリティの見せ場を「脆弱性を見つける」から「修正を着地させる」へ移す内容です。Codex Securityプラグインは、スキャン、変更レビュー、既存バックログのトリアージ、受け入れた1件ごとの修正と検証、SARIFなどへのエクスポートを同じ流れに置く。さらにGPT-5.5-Cyber、Daybreak Cyber Partner Program、Patch the Planetを組み合わせ、発見数ではなく、検証済みのパッチと人間のレビューまでを製品の中心にしています。

OpenAIの記事画像

発見ではなく、修正までが製品の対象になった

OpenAIはDaybreakを、脆弱なソフトウェアのパッチ適用を機械速度で広げる取り組みとして説明しています。今回の発表では、Codex Securityプラグインの更新、GPT-5.5-Cyberのフル版、セキュリティパートナー向けプログラム、Trail of Bitsなどと進めるPatch the Planetが並びました。

Codex Securityの修正ワークフローを抽象化したInterface Wire生成画像
画像: Interface Wire

大事なのは、モデルの能力を「見つけた脆弱性の数」で終わらせない点です。OpenAIは、発見だけでは誰も守れず、価値は検証、影響把握、パッチ作成、テスト、調整、展開支援にあると書いています。これはAIセキュリティのUIが、レポート一覧から修正判断の作業面へ移るということです。

数字もその方向を示しています。OpenAIによると、Codex Security cloudは3月の研究プレビュー以降、3万を超えるコードベースで3000万超のコミットをスキャンし、人間レビューで7万超の検出が修正済みと印付けされ、50万超は自動的に修正済みと判定されています。発見件数だけでなく、修正済みかどうかを追うところまで製品指標になっています。

Codex Securityはスキャン結果をワークフローに変える

OpenAI DevelopersのCodex Securityプラグイン クイックスタートを見ると、用意されている入口は単なる「スキャン」だけではありません。標準または範囲指定スキャン、より時間をかける詳細スキャン、プルリクエストやコミット範囲の変更レビュー、既存のセキュリティ検出バックログのトリアージ、受け入れた1件ごとの修正と検証、JSON、CSV、SARIF、GitHub Security Advisoryなどへの出力が並びます。

この並びは、セキュリティAIを開発者の作業導線に入れるための設計です。検出が出たら、到達可能性や検証手順、修正案、レビュー可能なパッチに落とし込む。OpenAIの発表も、脅威モデルの生成、到達可能性の確認、検証ステップ、対象コードに合わせたパッチ生成、既存の脆弱性管理システムへのエクスポートを強調しています。

0.1.9の変更履歴でも、完了済みスキャンをマニフェスト、構造化された検出項目、カバレッジデータ、Markdownレポートで一貫した形式にし、JSON、CSV、SARIFでエクスポートできるようにしたと説明されています。つまり、Codex Securityは「見つけました」と言うだけでなく、監査、チケット、CI、レビューに渡せる形式へ結果を整える方向へ進んでいます。

強いサイバーモデルほど、人間のゲートが重要になる

同時に、今回の発表はかなり明確にアクセス制御を含んでいます。GPT-5.5-Cyberは、認可されたサイバーセキュリティ作業で不要な拒否を減らし、より高度な解析やパッチ支援をするモデルとして説明されていますが、対象は信頼された防御側への限定リリースです。OpenAIは、より許容的で強いモデルを、検証、監視、スコープ制御、レビューと組み合わせる前提で出しています。

Patch the Planetも同じ構図です。広く使われるオープンソースプロジェクトにAIで大量のレポートを投げ込むのではなく、研究者がメンテナーと相談し、優先順位や開示手順を確認し、脆弱性とパッチを検証・重複排除してから届ける。AIが発見量を増やすほど、人間が受け取れる単位に絞るUIと運用が重要になります。

Interface Wire的に見ると、これはAIエージェントの成熟した使い方です。強いモデルをそのまま自動修正ボタンにするのではなく、誰が承認し、どのコードに触れ、何を証拠として残し、どの形式で既存システムへ渡すかを製品化する。Daybreakの新しさは、サイバー能力の誇示よりも、発見から修正までの境界をUIにしたところにあります。

OpenAIのDaybreak拡張は、AIセキュリティを「脆弱性をたくさん見つける競争」から、「人間がレビューできる修正を安全に着地させる競争」へ移そうとしています。Codex Securityの価値は、スキャン結果そのものより、検証、優先度、パッチ、エクスポート、承認を一つの作業面に並べることにあります。AIがセキュリティを速くするほど、最後に効くのは修正を扱えるインターフェースです。