OpenAI、アプリケーションのセキュリティ診断エージェント「Codex Security」を研究プレビューで公開

OpenAIが発表したCodex Securityは、AIエージェントを用いたアプリケーションセキュリティ診断ツールです。従来のセキュリティスキャンツールは、影響の小さい問題や誤検知を大量に報告し、セキュリティチームのトリアージ（優先度付け）作業に負担をかけていました。Codex Securityは、自社の先進的なモデルとエージェント技術を組み合わせ、プロジェクト固有の脅威モデルを構築します。これにより、システムにとって現実的なリスクとなる脆弱性を優先的に発見・検証し、信頼性の高い結果のみを報告することを目指しています。

Codex Securityの動作は主に3段階です。まず、リポジトリを分析してセキュリティ上の構造を理解し、編集可能な脅威モデルを作成します。次に、このモデルを基に脆弱性を探索し、発見した問題をサンドボックス環境で検証して、誤検知と本物のリスクを区別します。最後に、発見された問題に対して、システムの文脈や周辺の動作を考慮した修正コードを提案します。これにより、セキュリティを向上させながら、既存機能への悪影響（リグレッション）を最小限に抑えたパッチの適用が可能になります。

同社によれば、ベータテスト期間中に精度は向上しており、あるリポジトリではノイズ（不要な報告）が84%削減され、深刻度が過大報告されるケースは90%以上減少したとのことです。過去30日間のベータテストでは、外部リポジトリの120万以上のコミットをスキャンし、792件のクリティカルな問題と10,561件の高深刻度の問題を特定しました。

OpenAIは、Codex Securityをオープンソースソフトウェア（OSS）のセキュリティ強化にも活用しています。同社が依存する主要なOSSリポジトリをスキャンし、発見した重大なセキュリティ問題をメンテナーに報告しています。これまでにOpenSSH、GnuTLS、PHP、Chromiumなど、広く使われるプロジェクトに対して脆弱性を報告し、14件のCVE（共通脆弱性識別子）が割り当てられています。

また、OSSメンテナーを支援する「Codex for OSS」プログラムも開始しました。参加プロジェクトには無料のChatGPTアカウントやコードレビュー、Codex Securityへのアクセスを提供します。vLLMなどのプロジェクトは、既に通常のワークフローの中でこのツールを使用して問題の発見と修正を行っています。

A. OpenAIが提供する、AIがプロジェクトの文脈を深く理解してアプリケーションの脆弱性を診断し、修正案まで提案するセキュリティツールです。

A. 単にルールベースで問題を列挙するのではなく、AIがプロジェクトの脅威モデルを作成し、現実的なリスクが高い問題に絞って報告する点が特徴です。誤検知の報告を大幅に減らせるとしています。

A. 現在は研究プレビューとして、ChatGPT Pro、Enterprise、Business、Eduの顧客がCodex Webを通じて利用できます。最初の1か月は無料で使用可能です。

O!Productニュース編集部からのコメント

誤検知に悩まされるセキュリティチームの作業負荷を、AIの文脈理解で減らそうというアプローチが現実的です。ベータテストでノイズが84%減ったという数値は、担当者にとってはかなりインパクトがあるでしょう。

引用元：OpenAI