OpenAIが新セキュリティ製品「Daybreak」を発表した。Codex SecurityとGPT-5.5 Cyberの2本立てで、コード診断から修正パッチ生成まで自動化する。人手不足を埋める救世主と歓迎する声が大きいが、私はここで一つ釘を刺しておきたい。脆弱性狩りをAIに丸投げした組織は、いずれ別の種類の脆弱性を抱え込むことになる。
何が起きたか
OpenAIが発表したDaybreakは、企業のソースコードをAIに読み込ませることで、隠れたバグや侵入経路を発見し、それが実際に悪用可能かを検証したうえで、修正パッチまで自動生成するツール群である。構成はCodex Securityによる静的解析・パッチ生成と、GPT-5.5 Cyberによる脅威の現実性検証という2層構造になっている。
OpenAIの売り文句は明快だ。従来、セキュリティエンジニアが数週間かけていた脆弱性調査と修正作業を、組織規模を問わず安価に走らせられる。世界的に枯渇しているセキュリティ人材を、AIで埋める。コード生成の延長線上に「コード防衛」を置き、開発ライフサイクルの最終工程までOpenAIが押さえに来た格好だ。市場は当然のように好感し、既存セキュリティベンダーの株価には早くも警戒感が出ている。
なぜこのニュースが重要か
これは単なる新製品発表ではない。「セキュリティの民主化」という名目で、企業の最も機密性が高い領域、すなわち未公開ソースコードと未修正の脆弱性情報が、OpenAIのインフラに集約されることを意味する。
考えてみてほしい。Daybreakが価値を発揮するためには、自社の生のコードと、まだ世に出ていない脆弱性の所在をOpenAIに渡さなければならない。これは攻撃者から見れば極上の標的だ。世界中の企業の「未修正バグ一覧」が一箇所に集まるサービスが、ハッカーにとってどれほど魅力的か、想像する必要すらない。
加えて、修正パッチを自動生成するということは、本番環境にデプロイされるコードの一部をAIが書くということだ。そのパッチに新たな脆弱性が混入していた場合、誰が責任を取るのか。OpenAIは利用規約で当然のように免責するだろう。「セキュリティ製品が新たなセキュリティリスクを持ち込む」という古典的な皮肉が、いま再演されようとしている。
過剰評価への反論
「中小企業でも大企業並みの防御体制」というナレーションの一節は、聞こえはいいが半分は嘘だ。
第一に、Daybreakが見つけられるのは、既知パターンに類似した脆弱性が中心になると想定される。標的型攻撃で本当に怖いのは、ビジネスロジックの隙を突かれるケースであり、これはAIには判定が極めて難しい。「決済フローの3段目で、特定条件下のみ二重課金される」といった事業固有の論理欠陥は、コードだけ読んでも見抜けない。Daybreakが守ってくれるのは、攻撃者から見て「下位3割」のレイヤーに過ぎない可能性が高い。
第二に、「サブスク価格の崩壊」という見立ても楽観が過ぎる。既存ベンダーは確かに値下げを迫られるが、Daybreakそのものの価格が安価で居続ける保証はどこにもない。OpenAIの常套手段は、市場を席巻したのちに段階的な値上げと機能ロックインを行うことだ。Codex SecurityとGPT-5.5 Cyberが事実上の業界標準になった瞬間、価格決定権はOpenAIに移る。安かったのは導入期だけ、という展開は推定だが、過去のSaaS業界の歴史を見れば断定してよい流れだ。
第三に、最大の問題は「セキュリティ判断の外部委託」である。脆弱性を発見し、優先度を決め、修正する一連の判断プロセスは、本来は事業を理解した内部人材が担うべき経営機能だ。これをAIに任せた組織は、数年後に「自社のコードを誰も理解していない」状態に陥る。これは脆弱性以上の脆弱性だ。
経営者として次に取るべき動き
第一に、Daybreakの導入是非を判断する前に、自社コードをOpenAIに渡してよい範囲を定義せよ。決済、認証、顧客データ処理など、コア領域は最初から対象外とし、周辺コードのみを試験対象にする線引きを社内規程に落とすべきだ。
第二に、既存セキュリティベンダーとの契約は即座に見直しに入れ。ただし全面解約ではなく、Daybreakと併用前提で価格交渉する。複数AIによる相互チェック体制を維持することが、依存リスクの保険になる。
第三に、社内のセキュリティ人材を「AIが出した結果を検証・判断する役割」へ再定義せよ。AIが代替するのは作業であって判断ではない。判断できる人材を持たない企業は、Daybreakを導入した瞬間に、自社の安全保障をOpenAIに白紙委任することになる。
誰も言わないから、私が言っておく。脆弱性狩りの主役はAIではない。AIを使いこなす人間だ。