📑 目次

1. 何を始めたのか
2. なぜOSSの安全が重要なのか
3. 「攻撃」ではなく「防御」に使う
4. 日本企業の「自分ごと」として
5. まとめ
6. 参考・出典

OpenAIが、オープンソースソフト（OSS）の欠陥をAIで見つけて直す取り組み「Patch the Planet」を始めた。攻撃ではなく防御にAIを使う試みで、商用ソフトの土台を支えるOSSの安全に踏み込む。地味だが、すべての企業のシステムに関わる話だ。

何を始めたのか

発表は2026年6月22日。OpenAIはセキュリティ企業Trail of Bitsと組み、自社の「Codex Security」などのツールでコードの脆弱性候補を洗い出す。Trail of Bitsの技術者が内容を精査したうえでOSSの維持管理者（メンテナー）に提示し、修正パッチの開発・検証まで一緒に行う。場当たり的な指摘で終わらせず、繰り返し使える手順として定着させる狙いだ。OpenAIは「多くのメンテナーは、すでに処理しきれないほどの報告にさらされている」と、現場の負担にも触れている。AIが脆弱性を大量に見つけられるようになったぶん、それを誰がさばくのか、という新しい問題に答えようとしている。

なぜOSSの安全が重要なのか

世の中の商用ソフトの多くは、無償のオープンソース部品の上に成り立っている。ところがその部品の多くは、少数の有志が手弁当で維持しており、安全性の監視が行き届かない。広く使われる小さな部品の欠陥が連鎖的に大事故へ広がった「Log4j」問題は、その怖さを世界に見せつけた。OSSの脆弱性は、巡り巡って一般企業のシステム停止や情報漏えいにつながる。遠い世界の話ではない。米国では政府調達でソフトの「部品表」提出を求める動きが強まっており、OSSの安全はもはや技術者だけでなく、調達や法務まで巻き込むテーマになっている。

「攻撃」ではなく「防御」に使う

生成AIはコードを書く力が高いぶん、脆弱性探しは攻撃側の道具にもなる諸刃の剣だ。今回の取り組みは、その力を守る側に回すという宣言でもある。報道はこの動きを、Anthropicのセキュリティツール「Mythos」と競合する位置づけだと指摘する。AI各社が「安全に役立つAI」を競い始めた構図だ。なお、発見した脆弱性の具体的な件数や対象プロジェクト数、投じる金額は公表されていない。掛け声倒れに終わらないか、実績で見ていく必要がある。

日本企業の「自分ごと」として

自社で1行もOSSを書いていなくても、使っている業務システムやクラウドサービスの内側はOSSだらけだ。だからこそ、どの部品をどのバージョンで使っているかを示す「部品表（SBOM）」を把握し、供給網（サプライチェーン）のリスクを管理することが経営課題になっている。AIが守りを助けてくれるのは心強いが、最後に責任を負うのは導入する企業側だ。誰がメンテナンスしているかも分からない無料の部品に、自社の事業がぶら下がっていないか——一度棚卸しする価値はある。OSSをめぐる動きは、コスト削減で無料ツールに乗り換える「Claude Code月2万円、無料OSS『Goose』で代替へ」のような流れとも地続きだ。

まとめ

OpenAIがどんな出発点から来た会社かは「みんなのAIとして始まった ── OpenAI の出発点」でも書いた。基盤を直すという地味な仕事に大手が乗り出したことは、AIの使われ方が「派手な新機能」から「土台の保守」へ広がってきた表れでもある。

参考・出典

• TechCrunch「OpenAI launches new initiative to help find and patch open source bugs」
• OpenAI 公式サイト
• Trail of Bits 公式サイト

---