生物リスクを狙ったバグ報奨金

OpenAIは、新しい GPT-5.5 Bio Bug Bounty の募集を開始した。これは、研究者が同社の生物関連の安全策を突破するユニバーサル・ジェイルブレイクを発見できるかを検証する、目的を絞ったレッドチーミング・プログラムである。その構成は非常に具体的だ。参加者には、モデレーションを発動させずに、クリーンなチャットから OpenAI の生物安全チャレンジの5つの質問すべてに成功裏に答えられる単一のプロンプトを作成することが求められている。最初に5問すべてを突破する真のユニバーサル・ジェイルブレイクには、最高賞金として25,000ドルが与えられる。

提示されたソース文によれば、このプログラムは Codex Desktop 上の GPT-5.5 のみに適用される。応募は2026年4月23日に開始され、2026年6月22日まで随時受け付ける。テストは4月28日に始まり、7月27日まで実施される予定だ。OpenAI は、部分的な成功については裁量で少額の賞を授与する場合があるとしている。

これは重要だ。なぜなら、最先端の AI 企業が生物学的悪用を単なるポリシー上の懸念ではなく、具体的なシステム強化の課題として扱っていることを示しているからだ。安全性評価を内部レビューや一般的な政策文言だけで捉えるのではなく、同社は外部の専門家に、明確に定義された失敗モードへの攻撃を求めている。

ユニバーサル・ジェイルブレイクが重要な理由

プロンプトベースの安全失敗の多くは状況依存だ。ある表現には耐えられても、別の表現では失敗することがある。ユニバーサル・ジェイルブレイクが異なるのは、より一般的な安全スタックの弱点を示唆するからだ。もし再利用可能な単一プロンプトが、新しい会話から複数の危険なプロンプトに対して保護的挙動を回避できるなら、それは脆弱性の深刻さを大きく引き上げる。

OpenAI が5問の生物安全テストに焦点を当てたのは、閾値ベースのアプローチを示している。つまり、同社が関心を持つのは個別のエッジケースよりも、モデルの生物防御への信頼を損なう体系的な失敗だ。断片的な例ではなくユニバーサルな手法に報酬を与えることで、レッドチーマーに対し、整合レイヤー全体の健全性を検証するよう求めている。

報酬額も優先度を示している。25,000ドルは大規模ソフトウェア脆弱性プログラムの規模と比べれば控えめだが、AI セキュリティやバイオセキュリティの有力な専門家を引きつけるには十分だ。さらに重要なのは、これらの弱点が他で悪用される前に、管理された条件下で防御が破られる証拠に対価を払う意思があることを明確にしている点だ。

選別された高信頼プロセス

このプログラムは完全な公開募集ではない。提示されたソースによれば、OpenAI は信頼できる生物学レッドチーマーの精査済みリストを招待し、AI レッドチーミング、セキュリティ、またはバイオセキュリティの経験を持つ研究者からの新規応募を審査する。承認された参加者と協力者は既存の ChatGPT アカウントを持ち、秘密保持契約に署名する必要がある。すべてのプロンプト、応答、発見、コミュニケーションは NDA の対象となる。

この管理されたアクセス設計は、テーマの機微さを反映している。生物関連の悪用研究は特異な位置にある。システムはストレステストされる必要がある一方、攻撃手法を広く公開すると追加のリスクを生む可能性がある。NDA の要件は、OpenAI が外部監視と運用上の封じ込めを両立させようとしていることを示している。

この仕組みは、最先端 AI ガバナンスにおけるより大きな変化も浮き彫りにする。高リスク能力分野は、完全な公開コンテストではなく、信頼されたアクセスモデルで扱われることが増えている。このアプローチは外部からの可視性を制限するが、完全公開のチャレンジよりも現実的な対抗テストを可能にすることもある。

このプログラムが最先端モデルの安全性について示すこと

GPT-5.5 Bio Bug Bounty は、AI 企業が高度なシステムに対するより専門化された安全検証へ移行していることを示している。一般的なレッドチーミングは依然として重要だが、最もリスクの高い領域では、ドメイン固有の専門知識がますます必要になる。生物学は特に重要なケースだ。なぜなら、正当な科学的支援と潜在的に危険な情報との境界を、大規模運用で管理するのは難しいからだ。

チャレンジをユニバーサル・ジェイルブレイクに絞ることで、OpenAI は実質的に次のような厳しい問いを投げかけている。つまり、同社の安全策は、プロンプトベースの手法だけを使う、意志の強い熟練した攻撃者に耐えられるのか、ということだ。これは、一般ユーザーがときどきモデルを混乱させられるかどうかを問うよりもはるかに厳しい。防御が再現可能かつスケーラブルな形で失敗するのかを試すものである。

同社の表現は、このプログラムがバグ報奨金と安全作業のより広いアーキテクチャの一部であることも示唆している。ソース文は参加者を OpenAI の別個の安全・セキュリティ報奨金プログラムへ導いており、単発の試みではなく、階層的な評価モデルであることを示している。

この発表が明らかにする限界

同時に、この発表は意図的にいくつかの点を曖昧にしている。チャレンジは NDA の対象であるため、外部の観察者はテストされたプロンプト、生成された応答、成功したジェイルブレイクの正確な性質を自動的には見ることができない。透明性は低下するが、公開そのものがリスクを生む分野では避けがたいのかもしれない。

Codex Desktop に焦点を当てている点も範囲を狭める。モデルの安全姿勢は製品、インターフェース、展開上の制約によって変わりうる。ある環境での成功や失敗が、すべての環境を必ずしも説明するわけではない。それでも、提示されたソースが明確に示すように、同社は少なくとも1つの実際の製品文脈で GPT-5.5 の生物学的安全策に対して敵対的な圧力をかけている。

AI 安全における実務的な転換

このバグ報奨金のより大きな意義は、モデルの安全性を、システムカードやポリシーステートメントに書かれたものではなく、運用上テストされるべきものとして扱っている点にある。その意味で、このプログラムは安全策を宣伝するためのものではなく、意味のあるほど十分に狭いルールのもとで、それを破ろうとする専門家の試みを招いている。

OpenAI の防御が持ちこたえるかどうかは別の問題だ。すでに明らかなのは、同社が生物学関連の悪用を、費用をかけた標的型の外部攻撃を行うに値するほど重要だと見なしていることだ。これはそれ自体、注目すべき展開である。最先端の AI システムがより高性能になるにつれ、安全性の主張の信頼性は、このような対抗的テストプログラムにますます依存することになるだろう。そこでは基準はポリシーが存在するかどうかではなく、それがそれを打ち破ろうとする人々との接触に耐えられるかどうかだ。

この記事は OpenAI の報道に基づいています。元の記事を読む

Originally published on openai.com