OpenAI、GPT-5.4-Cyberを検証済み防御チームに広げる

OpenAIの4月16日の更新は、GPT-5.4-Cyberを単なるmodel variantではなく、cyber defense向けアクセス設計の実験に押し上げた。同社はTrusted Access for Cyberに参加する最初の組織を示し、強いcyber capabilityを防御側に届ける一方で、本人確認と責任追跡を前提にする姿勢を明確にした。

具体的な数字は$10 millionだ。OpenAIはCybersecurity Grant Programを通じてAPI creditを出し、初期の対象としてSocket、Semgrep、Calif、Trail of Bitsを挙げた。焦点はsoftware supply chain security、vulnerability research、open source remediationにある。つまり価値の中心は、助言を返すchatbotではなく、実際のcodebaseで脆弱性を見つけ、検証し、修正する作業だ。

企業側の顔ぶれも重い。Bank of America、BlackRock、BNY、Citi、Cisco、Cloudflare、CrowdStrike、Goldman Sachs、iVerify、JPMorgan Chase、Morgan Stanley、NVIDIA、Oracle、Palo Alto Networks、SpecterOps、US Bank、Zscalerが参加組織として並ぶ。金融、security vendor、cloud、chip企業が同じ枠に入ったことで、GPT-5.4-Cyberはdeveloper previewというよりcritical infrastructure防御の管理された試験に近づいた。

さらにOpenAIはCAISIとUK AISIにもGPT-5.4-Cyberを提供し、cyber capabilityとsafeguardの評価を進める。ここが重要だ。cyber-permissiveなmodelは、binary reverse engineering、malware triage、vulnerability validationのような正当な作業を過度に止めないから役に立つ。しかし同じ性質はmisuse riskも高める。OpenAIはこの緊張を、identity check、trust tier、利用目的のsignalで扱おうとしている。

次の焦点はscale時の摩擦だ。検証やloggingが重すぎれば、小規模な防御者は管理の薄いtoolへ流れる。緩すぎれば、強いcyber modelそのものが攻撃面になる。今回の意味は、GPT-5.4-Cyberの性能だけではない。frontier cyber modelを誰に、どの条件で渡すのかという配布規則が、製品競争の一部になったことだ。