Codex Security - リサーチプレビュー公開

 (openai.com)
5 ポイント 投稿者 GN⁺ 2026-03-07 | まだコメントはありません。 | WhatsAppで共有
  • プロジェクトの文脈を分析し、複雑な脆弱性を検出・検証・パッチ適用するAIベースのアプリケーションセキュリティエージェント
  • 既存のセキュリティツールが生み出す過剰な誤検知と信頼性の低い警告の問題を減らし、実際のリスクが高い脆弱性に集中できるよう設計
  • ベータ段階でSSRF・クロステナント認証脆弱性など実際のセキュリティ欠陥を検出し、誤検知率50%以上減少深刻度の過大報告90%以上減少を記録
  • 現在、ChatGPT Pro・Enterprise・Business・Eduの顧客向けに1か月無料のリサーチプレビューとして提供され、システムごとの脅威モデリング・検証・パッチ提案機能をサポート
  • オープンソースのエコシステムでもOpenSSH、GnuTLS、GOGSなど主要プロジェクトのCVE脆弱性を発見・報告しており、Codex for OSSプログラムを通じてメンテナー支援を拡大予定

Codex Security の概要

  • Codex SecurityはOpenAIのフロンティアモデルとCodexエージェントを活用し、プロジェクトの文脈に基づくセキュリティ分析を実施
    • 単純な静的解析ではなく、システムごとのコンテキストに基づく検出・検証・パッチ自動化を支援
    • セキュリティチームが重要な脆弱性に集中し、安全なコードのデプロイ速度向上が可能
  • 既存のAIセキュリティツールが引き起こしていた信頼性の低い警告と過剰な分類作業負担を減らすことを目標とする

ベータテストと性能改善

  • 初期ベータ(旧称Aardvark)でSSRF、クロステナント認証脆弱性など実際のセキュリティ欠陥を検出
  • 繰り返しスキャンした結果、ノイズ84%減少深刻度の過大報告90%以上減少誤検知率50%以上減少
  • 30日間で120万件のコミットをスキャンし、792件の重大脆弱性10,561件の高深刻度脆弱性を検出
    • 重大脆弱性は全コミットの0.1%未満で、大規模コードでも効率的に検出できる可能性を実証

主な機能

  • システムコンテキストの構築と脅威モデル生成
    • リポジトリ構造を分析してプロジェクトごとの脅威モデルを自動生成
    • モデルは編集可能で、チームのセキュリティ基準に合わせて調整可能
  • 課題の優先順位付けと検証
    • 脅威モデルに基づき、実際の影響度を重視した脆弱性分類を実施
    • サンドボックス環境で検証し、シグナルとノイズを区別し、実行可能なPoC生成を支援
  • システム文脈に基づくパッチ提案
    • コードの意図と周辺動作を考慮した安全な修正案を提示し、回帰リスクを最小化
    • 重要度フィルタリングでチームごとの優先順位管理が可能
  • フィードバック学習機能
    • ユーザーが深刻度を調整すると、それを反映して脅威モデルの精度向上

オープンソースエコシステム支援

  • OpenAIはCodex Securityで自社が依存するオープンソースリポジトリをスキャンし、発見した重大な脆弱性情報をメンテナーと共有
  • メンテナーは低品質なレポートの過多問題を指摘しており、これを受けてCodex Securityは高信頼な脆弱性中心の報告体系として設計
  • Codex for OSSプログラムを通じて、オープンソースメンテナーに無料のChatGPT Pro/Plusアカウント、コードレビュー、セキュリティ分析支援を提供
    • 初期参加プロジェクトにはvLLMが含まれる
    • 今後さらに多くのメンテナーへ拡大予定

発見された主なオープンソース脆弱性(一部CVE)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — LdapUserMap関連関数 (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) など多数を含む

提供とアクセス

  • ChatGPT Pro、Enterprise、Business、Eduの顧客に対し、Codex Webを通じて1か月無料のリサーチプレビューを提供
  • 今後はCodex Securityドキュメントページでチームごとの設定や使い方を確認可能
  • NETGEARは初期アクセスプログラム参加企業として、Codex Securityがセキュリティレビューの速度と深さの強化に貢献したと評価

結論

  • Codex SecurityはAIベースのセキュリティ自動化と高信頼な脆弱性検証を組み合わせた新しいアプローチ
  • セキュリティチームの効率向上オープンソースエコシステムの強化大規模コードベースにおける実質的リスクの検出を目指す

関連記事

まだコメントはありません。

まだコメントはありません。