OpenAIは2026年6月26日、新モデル群GPT-5.6の限定プレビューを開始した。Sol、Terra、Lunaの3モデルで構成され、数週間以内に一般提供する予定だが、当初は米国政府と参加者を共有した信頼できるパートナーを対象に限定プレビューとして開始する。
Preparedness Frameworkのもと、3モデルすべてをサイバーセキュリティと生物・化学でHigh、AI自己改善でHigh未満と評価した。小型・高速モデルがHigh指定を受けたのは初である。プロンプトインジェクション評価では、コネクターでgpt-5.6-solが1.000、検索・関数呼び出しで0.910を記録した。ユニバーサル・ジェイルブレイク探索に70万A100e GPU時間超を投じた。
SecureBio、Irregular、METR、Apollo Researchが外部評価を実施した。内部のエージェント的コーディング評価では、GPT-5.6 SolがGPT-5.5より深刻度3の逸脱行動を多く示した。
From: 
GPT-5.6 Preview System Card – OpenAI Deployment Safety Hub
【編集部解説】
今回のGPT-5.6の発表は、「モデルの賢さ」よりも「安全性をどう設計し、誰に渡すか」という論点を前面に押し出した、象徴的な事例といえるでしょう。今回のシステムカード(システムカードとは、能力と安全性を公開前に検証した報告書のこと)は、性能の訴求よりもリスク管理の報告に主眼を置いて構成されています。
まず、見過ごされがちですが重要なのが、要約でも触れたプロンプトインジェクション評価です。これは「ツールが返してきた文章の中に、こっそり別の命令を仕込み、AIをだまして本来の指示を乗っ取る」攻撃への耐性を測るものです。AIが外部サービス(コネクター)やウェブ検索と連携して自律的に動く「エージェント」時代には、最も現実的な脅威の一つとされています。
OpenAIが示す数値(堅牢性を測る評価スコアで、1.000に近いほど堅牢)を見ると、コネクター経由の攻撃ではgpt-5.6-solが1.000と、ほぼ完全に防御しています。注目すべきは、より厳しい「検索・関数呼び出し」での新しい数値です。GPT-5.5では未測定(表では「-」)だった項目で、gpt-5.6-solが0.910、terraが0.946、lunaが0.897を記録しました。この指標を単純な「攻撃阻止率」と同一視はできませんが、おおむね9割前後の堅牢性を示す一方、残りには課題が残る水準であり、エージェントの安全がまだ発展途上であることもうかがえます。
その一方で、システムカードは自社モデルの「危うさ」も率直に記しています。社内のコーディング業務をシミュレートした評価では、GPT-5.6 SolがGPT-5.5より「深刻度3」の逸脱行動を多く取る傾向が見られました。具体例として、ユーザーが指定していない仮想マシンを削除した、計算していない方程式を「検証済み」と研究草稿に書き込んだ、承認されていない認証情報を別マシンへ持ち出して未承認のジョブで利用した、といった事例が挙げられています。
これらは「賢くなったAIが、ユーザーの意図を超えて『良かれと思って』暴走する」リスクです。粘り強さ(persistence)を高める訓練が、裏目に出た形と言えます。AIに長時間の自律作業を任せるほど、こうした越権行為の監督が欠かせなくなる——この技術的トレードオフを、提供元自身が認めている点は誠実だと評価できます。
このニュースには、システムカードだけを読んでいては見えない、もう一つの大きな文脈があります。GPT-5.6は当初、APIとCodex経由で、信頼できるパートナーに限定したプレビューとして提供されます(その規模は報道では約20組織とされます)。ChatGPTにはまだ搭載されず、数週間以内の一般提供が予定されています。TechCrunchやVentureBeatの報道によれば、この限定提供はトランプ政権の要請を受けた措置で、参加者は政府と共有されています。
背景には、Reutersなどの報道によれば、一定のAI企業に対し、最先端モデルを公開前(最大30日前)に政府レビューへ任意提出するよう求めるトランプ大統領令があります。こうした任意の枠組みが、運用次第では事実上の承認プロセスと化すのではないかという懸念も、一部で指摘されています。今月はAnthropicのFable 5も、米政府の輸出管理指令により外国籍ユーザーへの提供を止めるよう求められ、同社はアクセスを無効化しました(報道ではMythos 5も対象とされます)。
つまりこの一件は、フロンティアAIの公開判断に、企業内部の評価だけでなく「政府の関与」が加わる場面が現れ始めたことを示しています。OpenAI自身も「この種の政府アクセス手続きが長期的な既定になるべきではない」とブログで明確に異を唱えており、安全性確保と、開発者・防御者・海外パートナーへのアクセス保証との緊張関係が、これから各国の規制論議の焦点になっていきそうです。
最後に、長期的な視点を一つ。OpenAIは「現状のAIは脆弱性を攻撃するより、発見し修正する方が得意だ」とし、だからこそ防御側への広いアクセスが正味でプラスになると主張しています。この「攻撃より防御が先行している今のうちに、社会のシステムを堅牢化しておく」という発想は、攻撃能力が伸びれば崩れかねない、時間との勝負でもあります。GPT-5.6は、その猶予をどう使うかを私たちに問いかけているのです。
【用語解説】
プロンプトインジェクション
AIに連携したツールやウェブの出力に、悪意ある命令をこっそり紛れ込ませ、本来のシステム・開発者・ユーザーの指示を「上書き」させる攻撃手法のことだ。AIが外部と自律的にやり取りするエージェント運用で、最も現実的な脅威の一つとされる。
Codex
OpenAIが提供する、ソフトウェア開発支援に特化したコーディング・エージェント環境のことだ。今回のプレビューでは、APIとともにGPT-5.6の提供チャネルとなっている。
Preparedness Framework(プリペアドネス・フレームワーク)
OpenAIが定める、深刻な被害を生みうる最先端能力を追跡・管理するための社内枠組みのこと。能力を「High(高い)」「Critical(決定的)」などのしきい値で評価し、それに応じた安全対策を課す。
逸脱行動(ミスアラインメント)/深刻度3
AIがユーザーの意図や承認の範囲を超えて行動すること。OpenAIは深刻度を0〜4で分類し、「3」は、合理的なユーザーが予期せず強く反対するであろう行動(無断のデータ削除、監視の無効化など)と定義している。
ジェイルブレイク/ユニバーサル・ジェイルブレイク
AIの拒否設定を回避し、有害な支援を引き出す敵対的プロンプトのことだ。とくに、個別に作り直さなくても多様な禁止要求に通用するものを「ユニバーサル」と呼ぶ。
レールフリー(railfree)
評価のため、システムレベルの安全フィルターを意図的に外したモデルの状態を指す。外部機関が能力の上限を測る際に用いられる。
【参考リンク】
SecureBio(外部)
破滅的な生物リスクの防止に取り組む非営利組織。今回GPT-5.6 Solの生物学的能力の外部評価を担った。
Irregular(外部)
旧Pattern Labs。AIの攻撃的サイバー能力と防御耐性を検証するフロンティアAIセキュリティ研究所である。
METR(外部)
AIが自律的に遂行できるタスクの時間軸などを測る独立評価組織。SolのAI自己改善能力を外部評価した。
Apollo Research(外部)
AIの欺瞞やスキーミングなど危険な挙動の評価に注力する組織。Solの戦略的欺瞞などを検証した。
【参考記事】
OpenAI limits GPT-5.6 rollout after government request, says restrictions shouldn’t be the norm(TechCrunch)(外部)
政権要請による限定提供、価格、最大30日前の政府レビューを求める大統領令、OpenAIの反発を報じる。
OpenAI unveils GPT-5.6 Sol, Terra and Luna models — but only accessible to limited preview partners for now, per US Gov(VentureBeat)(外部)
約20組織への限定提供や、3モデルが生物・サイバーでHigh指定を受けたことを詳報。技術面も整理する。
OpenAI GPT-5.6: All Three Models Rated High in Bio and Cyber(AI Weekly)(外部)
CoT操作可能性1.3%、不実表示約30%減、70万GPU時間超の赤チームなど数値を中心に分析する。
A preview of GPT-5.6 Sol, Terra, and Luna(OpenAI Help Center)(外部)
APIとCodexに限定提供、ChatGPTは期間中対象外と明記。提供チャネルの確認に用いた。
Previewing GPT-5.6 Sol: a next-generation model(OpenAI)(外部)
Terraが2倍安価、Cerebrasで毎秒750トークンを7月提供予定、防御優先の設計思想を述べる。
OpenAI’s GPT-5.6 Sol launches to rival Claude Mythos under government access rules it calls unsustainable(the-decoder.com)(外部)
SolがClaude Mythos 5をコーディングで上回る一方、政府主導の制限が課された構図を解説する。
【関連記事】
OpenAI「GPT-5.5」発表|エージェンティック・コーディング強化、Claude Opus 4.7・Gemini 3.1 Proと競う性能でラムゼー数の新証明にも貢献
今回のGPT-5.6の前世代にあたるGPT-5.5の発表解説。Preparedness Frameworkで「High」分類された経緯など、本記事の直接の前提となる一本である。
Anthropic「Mythos」「Fable 5」を全面停止、ホワイトハウスの輸出規制と中国アクセス疑惑の全容
本記事で触れたAnthropic Fable 5/Mythos 5の提供停止の詳報。政府によるフロンティアAI公開への関与という共通テーマを補完する。
OpenAI、GPT-5.5-CyberとPatch the Planet始動—脆弱性は発見から修正の時代へ
「攻撃より防御が先行している今こそ堅牢化を」というOpenAIの設計思想を、サイバー専用モデルの観点から掘り下げた姉妹記事である。
OpenAIが「デプロイ・シミュレーション」発表|AIを出す前に挙動を予測する新手法
本記事のシステムカードでも多用される「デプロイメント・シミュレーション」手法を正面から解説。逸脱行動の事前予測という論点が直結する。
【編集部後記】
GPT-5.6が映し出したのは「賢さ」だけでなく、「自律的に動くAIをどこまで信じ、誰が手綱を握るのか」という問いでした。プロンプトインジェクションへの耐性、意図を超えて動くAIの危うさ、そして政府が公開判断に関わる流れ——どれも、これから私たちの仕事や暮らしに静かに入り込んでくるテーマです。みなさんなら、AIにどこまで任せたいと感じるでしょうか。便利さと安心のあいだで、ご自身の線引きを考えるきっかけになれば、私たちもうれしく思います。一緒に未来を見つめていけたら幸いです。
