【生成AI事件簿】AIガバナンスは能力制限から身元検証にパラダイムシフト、AIのサイバー能力はすぐに人間を凌駕
小林 啓倫
経営コンサルタント
著者フォロー
フォロー中
2026.4.17(金)
経営 IT・デジタル
2026年4月14日(現地時間)、OpenAIが新しいAIモデル「GPT-5.4-Cyber」を発表した。コンパイルされたソフトウェアの中身を解析し、処理内容を読み解く技術「バイナリリバースエンジニアリング」まで実行できる、防御特化型のモデルである。だが、この発表で本当に注目すべきはモデルの技術仕様そのものではない。その「配り方」だ。
前週、Anthropicが新フロンティアモデル「Claude Mythos」を約40の組織だけに限定提供する「Project Glasswing」を打ち出した(関連記事)のに対し、OpenAIは数千人の個人防御者と数百のセキュリティチームに向けて段階的に開放するという、対照的な戦略を選んだ。同じリスクに、2社が異なる答えを出した格好だ。
OpenAIが「GPT-5.4-Cyber」で採用した「信頼できる者のみに最新モデルを公開」という戦略(筆者がChatGPTで生成)
この違いの背後には、AIガバナンスをめぐる根本的な思想転換がある。
サイバー防衛の最前線で何が起きているのか
GPT-5.4-Cyberは、現時点でのOpenAIのフラッグシップモデルGPT-5.4を、サイバーセキュリティ防衛用途に特化させてファインチューニング(追加学習による調整)した派生モデルだ。
OpenAIの説明によれば、GPT-5.4-Cyberは「サイバー寛容(cyber-permissive)」という設計思想で訓練された変種であり、通常モデルなら「悪用の恐れがある」として回答を控える質問にも、正当なサイバーセキュリティ業務であれば応じるよう調整されているという。
特徴的なのが、前述のバイナリリバースエンジニアリング機能だ。これはたとえるなら、レシピを見ずに完成した料理を一口食べて、使われている材料と調理法を再現する技術に近い。ソフトウェアの開発元から提供される設計図(ソースコード)がなくても、出来上がった実行ファイルだけを解析して、内部にマルウェア(悪意あるプログラム)が潜んでいないか、あるいは脆弱性はないかを読み解ける。
このレベルでのソフトウェア検査は、これまで一握りの専門アナリストにしか扱えなかった作業だが、AIがその領域を補助できるようになる。
防御におけるAI活用がもはや実験段階を超えていることは、OpenAIが同時に公表した実績数字からも見て取れる。同社が提供するセキュリティ自動化ツール「Codex Security」は、すでに3000件を超える重大・高深刻度の脆弱性修正に貢献しているという。
つまりそれは、これまで人手と時間に依存していた脆弱性の発見と修正のサイクルが、AIによって桁違いに高速化しつつあることを意味する。攻撃側がAIを手にすれば、それは即座に防御側の脅威になる。そのため、「先に防御側がAIを使いこなす」ことが、サイバーセキュリティ業界全体の死活問題になりつつある。
GPT-5.4-Cyberの発表は、この構図を象徴する出来事と言えるだろう。