OpenAI Codex Security — 120万コミットから脆弱性1万件。Anthropic Mythosとの「AI防衛戦争」が始まった

2026年4月、AIセキュリティの世界で2つの爆弾が落ちた。

4月7日、AnthropicがClaude Mythos Previewを限定公開。「全主要OSとブラウザのゼロデイ脆弱性を数千件発見した」という衝撃的な発表とともに、「危険すぎるから一般公開しない」と宣言した。

その2日後の4月9日、今度はAxiosがスクープを放つ。OpenAIがサイバーセキュリティ特化モデルを準備中で、Anthropic Mythosへの直接対抗を狙っている、と。

AIの2大巨頭が、セキュリティという一つの戦場で正面衝突しようとしている。

OpenAI Codex Security — Aardvarkからの進化

OpenAIのサイバーセキュリティへの取り組みは、実は2025年10月から始まっていた。プライベートベータとして公開された「Aardvark」が、そのスタート地点だ。

2026年3月、Aardvarkは「Codex Security」としてリブランドされ、リサーチプレビューが開始された。ChatGPT Enterprise、Business、Eduの顧客向けに、Codex Web上で利用できる。

やっていることを簡単に言うと、コードリポジトリを自律的にスキャンし、脆弱性を発見・検証・修正提案まで行うエージェントだ。

具体的なフローはこうなる。リポジトリのコードを解析し、疑わしい箇所を検出する。次に、サンドボックス環境で脆弱性の再現を試み、概念実証（PoC）エクスプロイトを生成して影響度を確認する。そして、修正パッチを提案する。発見→検証→修正のサイクルをAIが自律的に回す仕組みだ。

数字は説得力がある。ベータ期間の30日間で120万以上のコミットをスキャンし、792件のクリティカル所見と10,561件の高深刻度所見を検出した。人間のセキュリティチームでは何ヶ月もかかる作業を、30日で完了している。

Trusted Access for Cyber — 「強すぎるAI」の管理フレームワーク

注目すべきは、OpenAIがCodex Securityの提供にあたって構築したTrusted Access for Cyberというフレームワークだ。

背景にある問題は明確で、脆弱性を見つける能力は、そのまま脆弱性を悪用する能力でもある。GPT-5.3-Codexは、OpenAIのPreparedness Frameworkで初めて「High cybersecurity capability」に分類されたモデルだ。つまり、追加のセーフガードなしには提供できないレベルの能力がある。

そこでOpenAIが導入したのが以下の対策だ。

モデルレベルの制約。 認証情報の窃取など、明らかに悪意のあるリクエストは拒否するようモデルが訓練されている。

自動モニタリング。 分類器ベースのモニターが不審なサイバー活動のシグナルを検出し、高リスクのトラフィックをより能力の低いモデル（GPT-5.2）にルーティングする。

限定的なアクセス。 全ユーザーへの開放ではなく、身元と信頼性が確認されたパートナーへの段階的な提供。$10M（約15億円）のAPIクレジットを提供し、防御目的での利用を促進している。

Anthropic Mythosとの対比

両社のアプローチを並べてみると、共通点と差異が浮かび上がる。

共通点。 どちらも「このAIは強すぎるので一般公開しない」という判断を下している。限定的なパートナーへの提供、厳格なアクセス管理、防御目的に限定——基本方針は驚くほど似ている。

規模の違い。 AnthropicのProject Glasswingは12のローンチパートナー（Apple、Microsoft、CrowdStrike、Linux Foundationなど）に加え、40以上の追加組織にアクセスを拡大。$100M（約150億円）のクレジットと$4Mの寄付金を投じている。OpenAI側は$10Mのクレジット。投資額で見ると、Anthropicが10倍の規模だ。

発見能力の違い。 Anthropic Mythosが「全主要OSと全主要ブラウザのゼロデイを数千件発見」と主張するのに対し、OpenAI Codex Securityは「120万コミットから1万件の高深刻度所見」を検出。前者はゼロデイ（未知の脆弱性）に特化し、後者はコードベース全体のスキャンに強い。アプローチが異なるため、単純な優劣比較は難しい。

哲学の違い。 Anthropicは「能力が意図せず出現した」と述べている。Mythosはサイバーセキュリティのために訓練されたわけではなく、コード理解と推論力の向上の「副産物」として攻撃能力が出現した。一方、OpenAIのCodex Securityは最初からセキュリティ用途を意識して設計されたプロダクトであり、その分だけ「意図的に制御可能」という立場をとっている。

「壊せるから守れる」というパラドックス

この2社の動きが示しているのは、AIセキュリティの本質的なジレンマだ。

脆弱性を効果的に発見するAIは、脆弱性を効果的に悪用するAIと表裏一体である。「防御ツールとしてのAI」と「攻撃ツールとしてのAI」の境界線は、モデルの能力そのものではなく、誰がどう使うかに依存する。

だからこそ両社は、技術的なモデル性能よりもアクセス管理のフレームワークに注力している。「何ができるか」より「誰に使わせるか」が、現時点での最重要課題なのだ。

ただし、この管理体制がいつまで持つかは不透明だ。オープンソースのLLMの能力が上がれば、同等のサイバー能力を持つモデルが誰でも動かせる時代は遠くないかもしれない。そのとき、「信頼できる相手にだけ渡す」という戦略は機能しなくなる。

開発者は何をすべきか

企業のセキュリティチームにとって、Codex SecurityやMythosへのアクセスはまだ限定的だ。だが、準備できることはある。

まず、自社のコードベースの「AI可読性」を高めること。AIがコードをスキャンする時代、意味不明な変数名や文書化されていないセキュリティ前提は、脆弱性を見逃す原因になる。

次に、AIが発見する脆弱性の量に対応するための体制。Codex Securityが30日で1万件を発見したように、AIが見つける所見の数は人間のレビュー能力を容易に超える。トリアージの自動化や優先順位付けのプロセスが不可欠になるだろう。

AIセキュリティの軍拡競争は、もう始まっている。そしてそれは、AIを作る2社の競争であると同時に、攻撃者と防御者の競争でもある。どちらが先に使いこなすかが、勝敗を分ける。