StartupXO
言語設定

Language

한국어 English 日本語 简体中文 繁體中文
← 全ニュースを見る

AI・テクノロジー

スキャナーからエージェントへ — デイブレイクがセキュリティ新興企業の堀を崩す

公開日: 2026-06-25

AIセキュリティオープンAI脆弱性検出オープンソースコーデックス

オープンAIがサイバーセキュリティプログラム「デイブレイク」を拡張し、コーデックス・セキュリティプラグイン、GPT-5.5-Cyberの正式リリース、重要オープンソースを狙う「パッチ・ザ・プラネット」を併せて発表した。GPT-5.5-Cyberはサイバージムのベンチマークで85.6%という単一モデル最高値を記録し、3,000万行を超えるリナックスカーネル上で情報漏洩PoC8件とローカル権限昇格エクスプロイト24件を自ら生み出した。要点は、ツールが「警告を出すスキャナー」から「見つけ、検証し、パッチを当てるエージェント」へ移ったことだ。

何が起きたのか

デイブレイクは四つの部品でまとまっている。一つ目はコーデックス・セキュリティプラグインだ。コードベース全体でも、選択した一部でも、コミット一つでもスキャンしてレポートを出す。レポートには深刻度の評価、影響を受けるコードの位置、根拠、そして修正方法が一緒に載る。単に行を示すだけにとどまらず、攻撃経路を追い、脅威モデルを組み立て、見つけた内容を検証したうえで、人が確認するためのパッチを生成する。二つ目はGPT-5.5-Cyberモデルの正式リリースだ。このモデルはサイバージムで85.6%を記録した。単一モデルとしては、これまでに出た中で最高のスコアだ。リポジトリを分析してセキュリティに敏感な構成要素を見つけ、脆弱なコードが実際に到達可能かを判断し、検証したうえでパッチを開発・テストし、人の確認用の根拠まで用意する。

三つ目はパッチ・ザ・プラネットだ。AIによる脆弱性発見とパッチ適用を重要オープンソースに当てるイニシアチブで、トレイル・オブ・ビッツとハッカーワンと共に作られた。AIスキャンに人間の専門家による確認を組み合わせる点が設計の中心にある。cURL、パイソン、Go、シグストア、pyca/cryptographyを含む30以上のプロジェクトが参加を表明している。四つ目は、企業がこの能力を引き込む経路となるデイブレイク・サイバーパートナープログラムだ。最も目を引く結果はリナックスカーネルの事例だ。3,000万行を超えるコードの上で、GPT-5.5-Cyberはセキュリティ関連の構成要素を突き止めて動的に検証し、カーネルポインタの情報漏洩PoC8件とローカル権限昇格エクスプロイト24件を作り出した。深刻度のラベルではなく動作するエクスプロイトであることが、これまでのツールとの違いだ。

創業者にとっての意味

セキュリティ新興企業にとって、これは境界線が動いたというシグナルだ。ここ数年、少なくないセキュリティ製品の実体は、オープンソースのスキャナーを包んだラッパーだった。パターンを照合し、深刻度を付け、ダッシュボードに出す作業を、整ったUIと連携で包んだものだ。その層はいまやモデルの中に吸い込まれていく。見つけるだけにとどまらず到達可能性を吟味し、検証し、パッチまで作り出すエージェントの前では、「警告をうまく出す」製品の差別化は薄くなる。堀を引き直す必要がある。ドメイン特化の脅威モデル、特定のコンプライアンス体系に合わせたワークフロー、顧客環境に深く埋め込まれた運用データのように、汎用モデルが簡単には複製できない場所へ価値を移すことだ。

同時に、すべての創業者にとっては自社のセキュリティ姿勢の問題でもある。製品に載せて出すオープンソースの依存関係は、いまや両側から同じ速度で扱われる。守る側が機械の速度でパッチを作れるなら、攻める側も同じ種類のツールで機械の速度でエクスプロイトを作る。リナックスカーネルから出たエクスプロイト24件がその証拠だ。cURLやパイソンのように、あなたのスタックの底に敷かれたライブラリがパッチ・ザ・プラネットの対象に上がるということは、そこから出た修正があなたにも及ぶということだ。そして忘れてはならない一行は、依然として人が輪の中にいるという事実だ。コーデックスはパッチを「生成」するが、人が「確認」し、パッチ・ザ・プラネットはAIスキャンに人間の専門家の確認を必ず組み合わせる。自律的なパッチではなく、検証を経た提案だ。

いま取れる行動

まず、自社の製品が「スキャナーのラッパー」かどうかを正直に点検することだ。中核の価値が検出そのものにあるなら、その価値はモデル側へ急速に吸い込まれている。検証・再現・パッチという次の段階のどこに固有の強みを置けるかを、もう一度定義し直すことだ。二つ目に、依存関係グラフを実物として描くことだ。あなたが出荷するコードがcURL・パイソン・Goなどパッチ・ザ・プラネットの対象にどれだけ依存しているかを知れば、上流から出たパッチを数日ではなく数時間で取り込むパイプラインを用意できる。三つ目に、コーデックス・セキュリティプラグインのようなエージェント型ツールを、敵に先んじて自社のコードベースに回すことだ。コミット単位のスキャンで自分の弱点を機械の速度で先に見つける側が有利だ。四つ目に、人の確認段階をワークフローに明示的に埋め込むことだ。モデルが作ったパッチを無確認でマージせず、誰が何を根拠に承認したかを残す手順を作ることだ。五つ目に、ベンチマークの数字に引きずられないことだ。85.6%は印象的だが、特定のベンチマーク上のスコアだ。あなたのコードベースでの実際の的中率と誤検知率は、自分で回してみないとわからない。

参考資料

関連コンテンツ

startupxo 企業がコーデックスを社内に導入し始めた — 創業者が読むべきシグナル