OpenAIが包括的オープンソース脆弱性修復計画を開始、Anthropicの「安全神話」に挑戦

AIセキュリティへの関心が高まり続ける中、OpenAIは2026年6月23日、強化版サイバーセキュリティモデルGPT-5.5-Cyberを正式リリースし、同時に「Patch the Planet」と名付けたグローバルなオープンソース脆弱性修復計画を始動した。この動きは、競合他社Anthropicが長年にわたり築いてきた「安全神話」への強力な対抗策として業界から見られている。

GPT-5.5-Cyber：言語理解からサイバー防御へ

WIREDの報道によると、GPT-5.5-CyberはOpenAIがサイバーセキュリティ分野向けに開発した専用バージョンであり、その中核的な能力は従来の自然言語処理からコード監査、脆弱性発見、自動パッチ生成へと拡張されている。前世代モデルと比較して、新バージョンはゼロデイ脆弱性の検出、悪意あるトラフィックパターンの分析、セキュリティ修正提案の生成において画期的な進歩を遂げた。OpenAIのセキュリティ研究責任者は、同モデルが社内テストにおいて3,000以上のオープンソースプロジェクトにある高危険度の脆弱性を特定することに成功し、平均修復時間を40%短縮したと述べた。

「これは単純なチャットボットのアップグレードではなく、AIが『言語を理解する』から『システムセキュリティを理解する』へと向かう重要な飛躍だ。」――OpenAI公式ブログ

「Patch the Planet」：オープンソースコミュニティへの恵みの雨か、新たな懸念か？

モデルのリリースと同時に始動した「Patch the Planet」イニシアティブは、今後12か月以内にGitHub、Apache Software Foundationなどのパートナーと連携し、上位10万件のオープンソースプロジェクトに対して自動化された脆弱性スキャンとパッチ提出サービスを提供する計画だ。OpenAIはすべてのパッチがオープンソースライセンスに準拠し、いかなる使用制限も付与しないと約束している。この取り組みは、オープンソースコミュニティが長年抱えてきた「メンテナーのリソース不足」という痛点に直接対処するものだ――セキュリティ企業Snykの統計によると、2025年にはオープンソースプロジェクトの約72%に少なくとも1つの既知の未修正脆弱性が存在していた。

しかし批評家は、OpenAIがこれを機にオープンソースエコシステムへの隠れた支配力を構築しようとしているのではないかと懸念している。電子フロンティア財団（EFF）のサイバーセキュリティ専門家は次のように指摘した。「AIが生成したパッチがデフォルトの選択肢となれば、オープンソースプロジェクトのメンテナーの自主性が損なわれ、単一のサプライヤーへの依存が生じる可能性もある。」また、GPT-5.5-Cyber自体の学習データに著作権で保護されたコードが大量に含まれているかどうかについても、知的財産の観点からの議論が浮上している。

対抗の構図：なぜ今このタイミングでAnthropicの「神話」に挑むのか？

Anthropicは創業以来、「責任あるAI」を中核的なナラティブとして掲げており、創業者はかつて「大規模モデルの安全能力は汎用能力より先に確立すべき」と公言した。2025年にはAnthropicが「Guardian（守護者）」と名付けたAIセキュリティ評価フレームワークを発表し、政府向け受注市場の獲得にも成功した。OpenAIが今回大々的にサイバーセキュリティ分野に参入したのは、明らかにセキュリティ領域におけるAnthropicの先行優位を崩す狙いがある。

より深い視点から見ると、両社の戦略的な相違が顕在化しつつある。Anthropicはモデルの能力を制限することでリスクを回避する方向性を取るのに対し、OpenAIはより強力なAIを使ってセキュリティ脅威そのものと戦うことを主張している。「Patch the Planet」計画はまさにこの理念の実践であり――AIを危険なコードから遠ざけるのではなく、AIで脆弱性を修復するというアプローチだ。ただし、このアプローチが新たな攻撃対象領域を生み出す可能性があるかどうかは、今後の検証を要する。

「AIが『脆弱性ハンター』になるとき、AIが『脆弱性メーカー』にもなり得ることを私たちは受け入れる準備ができているだろうか？」――カーネギーメロン大学サイバーセキュリティ研究所のコメント

編集者注：AIセキュリティ競争の最終的な答えは技術ではなくガバナンスにある

技術的アプローチがどうあれ、OpenAIの今回の行動は一つの避けがたい事実を浮き彫りにした。オープンソースソフトウェアのグローバルサプライチェーンの強靭性が、前例のない試練に直面しているということだ。AI駆動の自動化修復は効率を高めることができるが、脆弱性の優先度付け、パッチの互換性テスト、そしてコミュニティ横断の調整メカニズムには依然として人間の知恵が必要だ。OpenAIとAnthropicによる「セキュリティ言説の主導権争い」は、本質的にはAIガバナンスモデルの分岐である――中央集権的な強力管理か、分散型の協調的進化か？答えはおそらく後者に近い。今後、「Patch the Planet」に類似したエコシステム規模のセキュリティ計画がさらに登場するだろうが、真の勝者はモデルが最も優れた企業ではなく、開発者・コミュニティ・規制当局の力を最もうまく統合できた企業となるだろう。

本稿はWIREDより編集・翻訳