OpenAI 2025年9月22日の公式発表解説: Outbound coordinated vulnerability disclosure policy

OpenAI は 2025年9月22日、Outbound coordinated vulnerability disclosure policy を公開しました。OpenAIが第三者ソフトウェアやシステムの脆弱性を発見した場合に、責任ある形で報告・調整するための方針です。

要点

• OpenAI が第三者脆弱性の協調的開示方針を公開
• AIやセキュリティ研究で外部脆弱性を見つけた場合の報告手順が重要になる
• 発見、連絡、修正期間、公開、証拠管理を明文化することが安全性に直結する
• PSIRT、セキュリティ研究、法務、OSS管理が確認したい

今回のブログ記事で語られていること

このポリシーは、OpenAIが第三者の脆弱性を発見したときに、どのように責任ある形で報告・調整するかを示すものです。AIを使ったコード解析やセキュリティ調査が進むと、自社以外のソフトウェア、OSS、インフラ、サービスに潜む脆弱性を見つける機会が増えます。その際、詳細を不用意に公開すると悪用を助長する可能性があり、逆に報告が遅れると利用者保護が遅れます。協調的な開示方針は、このバランスを取るために必要です。

Outbound という点も重要です。多くの企業は自社製品に対する脆弱性報告を受け付ける inbound のポリシーを持っていますが、自社が外部の脆弱性を見つけたときの方針は曖昧なことがあります。OpenAIがこの方針を公開することは、AI時代のセキュリティ研究において、発見後の責任を明確にする動きとして読めます。

企業にとっては、自社でも同様のポリシーが必要かを検討する材料になります。AIツールやセキュリティチームが第三者の脆弱性を見つけた場合、誰が連絡し、どの情報を渡し、どれくらい待ち、いつ公開し、法務がどこで関与するのかを決めておくべきです。今回の発表は、AIによる発見能力の向上と、それを安全に扱うガバナンスがセットで必要だと示しています。

関係するチーム

• PSIRT、セキュリティ研究、脆弱性管理、DevSecOps
• 法務、OSS管理、サプライチェーンセキュリティ
• AIを使ったコード解析やセキュリティ調査を行うチーム

実務で確認したいこと

1. 自社が第三者脆弱性を見つけた場合の報告方針を定める
2. 連絡先、証拠管理、修正猶予、公開判断、法務レビューを明確にする
3. AIセキュリティ調査の範囲と許可条件を整理する

結局、今回のブログ記事をどう読むべきか

このポリシーは、AI時代の脆弱性発見を安全に扱うための実務資料です。企業も、外部脆弱性を見つけた後の責任ある開示手順を用意しておくべきです。