OpenAI×370万円｜GPT-5.5バイオ脆弱性懸賞の全貌

監修者伊東雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

2026年4月23日発表：OpenAIが『GPT-5.5 Bio Bug Bounty』を公募開始、最高賞金2万5000ドル（約370万円）
テーマはバイオ安全：5問の生物セキュリティ問題を“1つのプロンプト”で全突破できる『Universal Jailbreak』を発見した者へ報奨
応募期間4/23〜6/22、テスト期間4/28〜7/27。NDA署名・身元審査必須、Codex Desktop環境限定
業界の安全性レース：Anthropic（ASL-3）、Google DeepMind（Frontier Safety Framework）と並ぶ大手3強の最前線
日本への波及：2025年6月成立のAI新法、NICTのAI評価基盤と連動して『国産AI赤チーム』整備が急務に

『AIに“悪い質問”をしてはダメ——でも、もし誰かが裏ワザでロックを突破したら？』。OpenAIは2026年4月23日、新モデルGPT-5.5の生物（バイオ）安全機能を“正式に壊しに来てください”と外部の専門家に呼びかける、最高賞金2万5000ドル（約370万円）の懸賞プログラムを公開しました。『なぜそんな危ない実験を？』『日本に関係あるの？』『普通のエンジニアでも応募できる？』という疑問を、中学生でもわかる言葉でほどいていきます。

何が起きた？｜GPT-5.5 Bio Bug Bounty発表の全体像

まず発表の中身を3分で整理します。

2026年4月23日｜GPT-5.5本体ローンチと同日に公開

OpenAIは2026年4月23日、新モデル『GPT-5.5』を発表すると同時に、その安全性を外部の専門家に検証してもらう『Bio Bug Bounty（バイオ・バグ・バウンティ）』を公開しました。『バウンティ＝賞金付きの脆弱性発見プログラム』のことで、もとはセキュリティ業界で広く使われてきた仕組みです。『お店が新作の鍵を発売する前に、世界中の鍵職人を雇って“破ってみてください”と頼む』ようなもの。“モデル発表とほぼ同時に、専門家へ攻撃テストを依頼する”という素早さが、今回のニュースの肝です。

最高賞金2万5000ドル｜“ユニバーサル脱獄”発見が条件

賞金は最高2万5000ドル（約370万円）。支給条件は『Universal Jailbreak（ユニバーサル脱獄）』、すなわち1つのプロンプトでGPT-5.5の5つのバイオ安全問題をすべて突破できる、再利用可能な攻撃文を発見することです。『1本の万能合鍵で5つの金庫が開く』状態を作れた研究者に、満額が支払われる仕組み。部分的な成功（5問中3問だけ突破など）でも、OpenAI裁量で報奨が出るため、未経験者にもチャンスは残されています。“研究者の貢献を金額で見える化する”ことで、安全性検証の質と量を一気に上げる狙いがはっきり見えます。

応募4/23〜6/22、テスト4/28〜7/27｜タイトな日程

応募期間は2026年4月23日〜6月22日、実際のテスト期間は4月28日〜7月27日までと、約3カ月という短期決戦。『学校の夏休みの自由研究』に近いタイムラインで、世界中の腕利きが一斉に取り組む構図です。応募はOpenAIの専用ポータルから、AIレッドチーム経験・サイバーセキュリティ経験・バイオセキュリティ専門性のいずれかを示して申請。“狭き門だが透明性は高い”という、現代的なオープンサイエンスの作法に従っています。

なぜ“バイオ”がターゲット？｜AI×生物兵器という最大の懸念

『なぜCOPルや一般的な脆弱性じゃなく、わざわざバイオなの？』を3つの観点から見ていきます。

国家安全保障級のリスク｜“非専門家を専門家にしてしまう”AI

各国政府やCSIS（米国戦略国際問題研究所）の報告書では、『AIが非専門家でも生物兵器の知識を取得できるレベルにまで進化する可能性』が、AIリスクの最上位に位置づけられている状況です。『今までは博士号レベルでないと書けなかった専門書を、誰でもAIに聞けば1分で読める』という変化のリスク。『普通の人が、街の薬局の説明書きを読むだけで毒薬を合成できるとしたら？』という問いと同じ深刻さ。“AIが、悪意ある個人と国家レベルの破壊力を結ぶ橋になりかねない”という危機感が、バイオ領域への集中投資の理由です。

Preparedness Framework｜OpenAIが自ら定めた“発進前の安全装置”

OpenAIは2024年に『Preparedness Framework』という、新モデル公開前の安全評価枠組みを公開。“バイオ”“サイバー”“説得”“自律性”の4領域でリスク水準を測り、しきい値を超える場合は公開を遅らせる仕組みです。『新車を発売する前に衝突実験を義務化する』自動車業界の慣行と同じ発想。今回の懸賞も、この枠組みの一環で“外部の専門家を巻き込んで衝突実験の精度を上げる”ための施策。“自社内テストだけでは見落としが出るので、世界の頭脳を借りる”という現代的な安全工学の実践例として、業界の注目を集めています。

GPT-5.5の進化｜“agenticコーディング”が安全性の鍵を上げた

GPT-5.5本体は『agentic（自律的）なコーディング能力』『コンピュータ操作』『科学研究』で大幅進化。400Kトークンの巨大コンテキストウィンドウで、長い文書や論文を一度に扱えるのが特徴です。『中身が薄い辞書から、図書館一棟ぶんの百科事典に進化した』レベルの飛躍。“賢くなった分だけ、危険な質問にも“筋道立てて”答えてしまうリスクが上がる”からこそ、外部赤チームによる検証が不可欠。“能力強化と安全性検証を、同じスピードでセットで進める”がOpenAIの今期の方針として読み取れます。

5問チャレンジの中身｜Codex Desktopで何をテストする？

応募者が突破を試みる『5問のバイオ安全チャレンジ』の仕組みを解説します。

完全に新しいチャットから｜“積み重ね”は禁止

チャレンジは『clean chat（まっさらなチャット）』からスタート。つまり、AIに前置きや誘導を仕込んで“だんだん油断させる”手法は使えない仕組みです。『初対面の人にいきなり鍵を渡してくださいと頼んで、即OKにさせる』難易度。“一発勝負・万能性・再現性”の3条件を満たす攻撃しか報奨対象にしないのが、このプログラムの厳しさ。“実世界での悪用シナリオに最も近い形で攻撃検証する”という設計思想がはっきり読み取れます。

Codex Desktop限定｜実環境に近いテストベッド

テストはOpenAIのIDE型アプリ『Codex Desktop』内のGPT-5.5に限定。これは“agenticな仕事”を実行する代表的な環境で、外部APIやファイル操作も可能。『実験室のシャーレでなく、実際の厨房で食材検査をする』ような現実味。“理論的な脆弱性ではなく、実用環境で本当に再現できる攻撃だけを評価する”という基準。“agentic AIが世の中で本格的に動き出す前に、その実環境を狙う攻撃を炙り出す”意図が明確です。

NDA署名と身元審査｜“悪用情報”を外に出さない

応募者は全員、NDA（守秘契約）への署名と既存ChatGPTアカウントによる身元確認が必須。『発見した攻撃手法、AIの応答内容、テスト中のデータは一切公開できない』縛りです。『鍵職人に新作の鍵を破ってもらうけど、その手口は外で話してはダメ』というルール。“情報を悪用する側に渡さない”という安全性運営の鉄則。“バイオ系の攻撃情報は1度漏れたら回収不能”という性質を踏まえた、極めて慎重な設計になっています。

競合との比較｜Anthropic／Google DeepMindとの“安全性レース”

大手3社の安全性アプローチを、横並びで比較します。

vs Anthropic｜ASL-3とコンスティテューショナルAI

Anthropicは2025年5月にClaude Opus 4を『AI Safety Level 3（ASL-3）』で公開。ASL-3は『理科系の基礎知識を持つ個人の生物・化学・核兵器入手能力を実質的に底上げするモデル』に適用される厳格レベルです。『Constitutional AI（憲法型AI）』というアプローチで、モデル自身が安全原則を学習・適用するのが特徴。『家庭教師を1人つけるOpenAI型vs 家のルールを子どもに体得させるAnthropic型』の違い。“能力評価を厳格化する点では一致、リスク低減の方法論で哲学が違う”のが業界の見立てです。

vs Google DeepMind｜Frontier Safety Framework更新

Google DeepMindも『Frontier Safety Framework』を更新し、Gemini 3.1のガバナンスを強化。April 2026の研究では、量的ベンチマークで両社モデルが高得点だったが、Geminiは“文脈把握の弱さ”が指摘されたとされます。『3社とも宿題を出されたが、回答スタイルが違う優等生』状態。“Future of Life Instituteの2025年安全性指標では、危険能力の検査をしている7社中、Anthropic／OpenAI／DeepMindの3社のみ”と評価されました。“バイオ・サイバー級リスクの正面評価ができている企業は限られる”のが現実です。

vs オープンソースモデル｜“管理外”という最大の不安

一方で、Meta Llama、Mistral、DeepSeekなどオープンソース系の大型モデルは、安全装置を後から外しやすいのが論点。『包丁を売る側が安全設計しても、買った人がヤスリで削れば刃物として使える』状況。“クローズドAIの安全対策が万全になればなるほど、オープンソース側への悪用シフトが進む”という業界全体のジレンマ。“OpenAIの懸賞プログラムは、クローズドAI陣営の集合的な安全責任の象徴”として位置づけられます。

日本への影響｜AI新法とNICTがどう動く？

『海外の話、日本にどう関係する？』を3つの切り口で見ます。

AI新法の枠組み｜2025年6月施行で“事業者責任”が明文化

日本では2025年6月4日、『人工知能関連技術の研究開発及び活用の推進に関する法律（AI新法）』が公布。内閣にAI戦略本部が設置され、総理大臣を長として国家レベルでのAI戦略が動き始めた状況です。『道路交通法ができたから、各社が自社のクルマに安全性能をつける義務がはっきりした』流れ。“OpenAIの懸賞プログラムは、日本のAI事業者ガイドライン1.1が求める『リスク管理の強化』の実例として参照される”可能性が高いと業界では見られています。

NICTのAI評価基盤｜2026年から国産レッドチーム整備

総務省は2026年から、情報通信研究機構（NICT）で『生成AIの信頼性・安全性を評価するAI基盤システム』の開発を開始。『国レベルで“AIの安全テスト用ジムナスティック施設”を整備する』方針です。『各社のAIを持ち寄ってバトルさせ、安全性スコアを国が公表する』ような構想。“日本国産モデルだけでなく、海外モデルの国内利用時の安全性も評価対象”になる見通し。“OpenAIの取り組みが、日本の国家プロジェクトの参考事例として直接活きてくる”展開です。

国産AI企業の責任｜“バウンティ文化”の輸入が課題

NEC・富士通・PFN・ELYZA・東大松尾研などの国産AI開発勢でも、独自の安全性検証は実施中。しかし“賞金付きで世界中の専門家に攻撃を依頼する”という大胆なバウンティ文化は、日本企業にはほぼ存在しないのが現状。『新薬の臨床試験は当たり前だけど、AIモデルの“臨床試験”は研究所内に閉じている』状況。“OpenAIが先行する“外部赤チーム”の知見を、日本のAI企業がいかに早く取り込めるか”。“この差が、5年後の日本のAI産業の信頼性に決定的に効いてくる”と専門家は警告します。

わたしたちの仕事はどう変わる？｜3つの活用シーン

シーン1｜AIセキュリティ研究者桐生さん（34歳）の応募チャレンジ

サイバーセキュリティ会社で生成AI監査を担当する桐生さんは、社内外でAIプロンプトインジェクション研究を続けてきました。『過去にOpenAIのSafety Bug Bountyで2件入賞、賞金合計60万円を受け取った実績』を持っています。今回のBio Bug Bountyにも応募予定で、『万能脱獄を狙うのは至難だが、部分突破でも裁量賞金が出る点が現実的な狙い目』と語ります。“OpenAIの専門ポータルでの応募、NDA署名、過去のレッドチーム実績の証明”という標準フロー。“AIセキュリティ研究者にとって、自分のスキルを“賞金”で評価してもらえる新しいキャリアが定着する”流れが、日本でも広がり始めました。

シーン2｜製薬スタートアップCSO 比留間さん（48歳）の社内ガイドライン

創薬スタートアップの最高科学責任者・比留間さんは、社内のChatGPT利用ルールを再点検中。『社員が研究中のAIに病原体や毒性物質の話題を尋ねるのは、業務上どこまで許容されるべきか』という難題に直面しています。OpenAIのBio Bug Bounty発表を受け、社内ガイドラインに『創薬・毒性研究関連の質問は、専用の閉域環境のみで実施する』条項を追加。『OpenAIですらこれだけ慎重なテストを公開でやっているのだから、社内も同じレベルで管理すべき』判断。“バイオ系企業のAI利用ポリシーが、世界の安全性スタンダードに引き寄せられる”動きが、業界全体で加速しています。

シーン3｜情報システム部マネージャー駒田さん（41歳）の社内研修

大手メーカーの情シスマネージャー・駒田さんは、社内の生成AI利用研修を毎月開催。『今月のテーマは“プロンプトインジェクションの実例”』に決定しました。OpenAIのBio Bug Bountyを題材に、『同じプロンプトを何度も再利用される攻撃が、なぜ“万能”と呼ばれるか』を解説するそうです。『研修で世界最先端の事例を扱える』のは、社員のリテラシー向上に直結。“グローバル動向を社内研修にスピーディーに取り込めるかが、情シス部の評価指標になる”時代。“ニュースを“人ごと”でなく“自社の問題”として翻訳する”力が、情シス職の新しい必須スキルとして確立しつつあります。

よくある質問（FAQ）

Q. 一般のエンジニアでも応募できますか？

A. 技術的には可能ですが、実質的には専門経験が必須。OpenAIは『AI赤チーム経験、サイバーセキュリティ実績、バイオセキュリティ専門性』のいずれかを応募者に求めています。『将棋アマ三段の人が、プロ棋戦に挑戦する』ようなハードル感。“応募申請には過去の脆弱性発見実績や論文の提示が必要”。“実績がない人でも、まずはOpenAIの一般向けSafety Bug Bountyから経験を積むのが王道”とされています。

Q. 賞金2万5000ドルは妥当な額ですか？

A. 業界の脆弱性報奨金としては中堅レベル。Microsoft・Google・Appleなどの大型バウンティは数十万ドル級もあるため、額自体は突出していません。『超有名な飲食店ガイドの星評価で、★3つ』程度のポジション。“ただし、研究内容のインパクトと社会的意義は破格に大きい”。“報奨金より、自分の名前がOpenAI公式の安全評価レポートに載ること自体がキャリア資産になる”のが本質的な魅力です。

Q. テスト中の発見は、論文や講演で発表できますか？

A. NDA（守秘契約）により、原則として公開不可。テスト中に得たプロンプト・モデル応答・脆弱性の詳細はすべてOpenAI内部にのみ報告する仕組み。『大手メーカーの新製品開発に呼ばれて、漏洩しないよう厳重に縛られる外部コンサル』状態。“一定期間後にOpenAIが匿名化して内容を一部公開することはあるが、研究者個人の発表は要審査”。“バイオ系の攻撃情報は社会的影響が大きすぎるため、通常のバウンティより縛りが厳しい”のが特徴です。

Q. GPT-5.5そのものは安全になったと言えますか？

A. “OpenAIが現在検出している既知の攻撃に対しては、強化された”と表現するのが正確。逆に言えば『未知の攻撃が見つかる可能性』を、OpenAI自身が懸賞プログラムで暗に認めている形です。『新車の安全試験で全項目クリアしても、想定外の事故は起きる』のと同じ。“懸賞プログラムは“完璧の証明”ではなく、“まだ見ぬ穴を塞ぐための継続的な仕組み””。“AIの安全性は“到達点”ではなく“常にアップデートされ続ける動的な状態””と理解するのが正解です。

Q. 日本企業がいま準備すべきことは何ですか？

A. 3ステップが現実的。第1に社内のAI利用ガイドラインを再点検し、特に医療・化学・生命科学領域の質問ルールを明文化、第2に外部のAIレッドチーム業者との連携を契約ベースで整備、第3にAI新法・NICT基盤の動向をウォッチして自社方針に反映。『新しい交通ルールができたら、社用車の使い方を見直すのと同じ手順』。“いきなり国際標準を目指さず、まずは社内→業界団体→国の指針の順に整える”が王道のロードマップです。

まとめ

2026年4月23日：OpenAIが『GPT-5.5 Bio Bug Bounty』を公募、最高賞金2万5000ドル（約370万円）
テスト内容：5問のバイオ安全問題を1つのプロンプトで全突破する『Universal Jailbreak』を狙う
運営条件：応募4/23〜6/22、テスト4/28〜7/27、Codex Desktop限定、NDA署名必須
業界の安全性レース：Anthropic（ASL-3）、Google DeepMind（Frontier Safety Framework）と並ぶ三強構図
日本への波及：AI新法（2025年6月）×NICTのAI評価基盤と連動し、国内でも“バウンティ文化”の整備が課題
次のアクション：OpenAI公式ページを確認し、自社のAI利用ガイドラインに『生命科学領域の質問ルール』を盛り込むのが第一歩

『AIに悪意ある質問をしても答えられないようにする』——一見地味なこの取り組みが、いま世界のAI開発の最前線で最大の戦場になっています。OpenAIが2万5000ドルを賭けて世界中の頭脳を“攻撃側”に動員する大胆さ、Codex Desktopという実環境でのテスト、NDAと身元審査の厳格さ——どれもがフロンティアAIの本気の安全工学を象徴。“能力強化と安全性検証を、同じスピードで二人三脚で進める”姿勢こそ、Anthropic・Google DeepMindと並ぶ大手3強の共通言語。日本企業にとっても、AI新法・NICT基盤と連動する“国産バウンティ文化”の確立が、5年後の信頼性を左右する経営判断。『AIの安全は誰かが完成させてくれるものでなく、社会全体で一緒に作り続けるもの』という新常識への入口を、私たちはいま渡っている——そう捉えると、この発表の重みが見えてきます。