サイバーセキュリティ1 week ago
OpenAI、コードの脆弱性を発見する「Codex Security」をローンチ
OpenAIは3月6日、コードベースの脆弱性をスキャンし、サンドボックス環境で発見内容を検証し、パッチを提案するAI駆動のアプリケーションセキュリティエージェントであるCodex Securityをリリースしました。このツールはすでに、OpenSSH、Chromium、および他の5つの広く使用されているオープンソースプロジェクトの欠陥を発見し、14件のCommon Vulnerabilities and Exposures(CVE)指定を獲得しています。Codex Security(以前はAardvarkとして知られていました)は、約1年間のプライベートベータを経て、ChatGPT Pro、Enterprise、Business、Eduの顧客が利用できるリサーチプレビューに移行しました。OpenAIは最初の1か月間、無料でのアクセスを提供しています。このエージェントは、スキャン前にプロジェクト固有の脅威モデルを構築することで、従来の静的解析ツールと異なります。リポジトリのアーキテクチャを分析し、システムが何をし、何を信頼し、どこが最も露出しているかを理解します。チームは脅威モデルを編集して、発見内容を自らのリスク姿勢に合わせることができます。カスタマイズされた環境で設定すると、Codex Securityは実行中のシステムに対して潜在的な脆弱性を直接圧力テストし、実世界での影響を確認するための概念実証エクスプロイトを生成します。大規模なパフォーマンス過去30日間のベータテストにおいて、Codex Securityは外部リポジトリにわたる120万以上のコミットをスキャンし、792件の重大な発見と10,561件の高深刻度の問題を浮き彫りにしました。重大な脆弱性はスキャンされたコミットの0.1%未満にしか現れず、このシステムが大規模なコードベースを処理しながら、レビュアーにとってノイズを管理可能なレベルに保てることを示唆しています。OpenAIは、ベータ期間中に精度が大幅に向上したと報告しています。一例では、初期リリース時と現在のバージョンとの間でノイズが84%減少しました。すべてのリポジトリ全体で、誤検知率は50%以上低下し、深刻度が過大報告された発見は90%以上減少しました。このエージェントはフィードバックも取り入れます:ユーザーが発見の重大度を調整すると、その後のスキャンのために脅威モデルを洗練させます。これらの数字は、AIコーディングツールを評価するセキュリティチームからの根強い不満に対処するものです。2025年に100以上の大規模言語モデルにわたる80のコーディングタスクを分析したところ、AI生成コードは45%のケースでセキュリティ脆弱性を導入することが判明し、AI記述コードが普及するにつれて、下流の検出ツールがますます重要になっています。オープンソースの脆弱性発見OpenAIは、依存しているオープンソースリポジトリに対してCodex Securityを実行し、高影響の発見をメンテナーに報告してきました。開示されたリストには、OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP、Chromiumが含まれます。割り当てられた14件のCVEのうち、2件は他の研究者との二重報告に関わるものでした。メンテナーとの対話で、OpenAIは主要な課題は脆弱性レポートの不足ではなく、低品質なレポートの過多であると述べました。メンテナーは、より少ない誤検知と、より軽いトリアージ負担を必要としていました。このフィードバックが、Codex Securityが量よりも高信頼性の発見を重視する姿勢を形作りました。同社はまた、オープンソースメンテナーに無料のChatGPT ProおよびPlusアカウント、コードレビューサポート、Codex Securityへのアクセスを提供するプログラム「Codex for OSS」を発表しました。vLLMプロジェクトはすでに、通常のワークフロー内で問題を見つけて修正するためにこのツールを使用しています。OpenAIは今後数週間でこのプログラムを拡大する計画です。このローンチは、OpenAIをアプリケーションセキュリティ市場への直接的な参加者として位置づけます。この市場では、Snyk、Semgrep、Veracodeなどの既存企業が足場を築いています。Googleは最近、Chromeの独自のAIエージェント機能のための詳細なセキュリティアーキテクチャを公開し、AIエージェントとセキュリティツールの交差点が複数の方向から注目を集めていることを示しています。いくつかの疑問は未解決のままです。OpenAIは無料トライアル期間後の価格を開示しておらず、Codex Securityの推論を支えるフロンティアモデルも特定していません。このツールは現在、APIレベルの統合を提供せず、Codex Webを通じて動作するため、既存のセキュリティ自動化パイプラインを持つチームによる採用が制限される可能性があります。Codex Securityがベータを超えてスケールする際に精度の向上を維持できるかどうか、そしてオープンソースメンテナーがこのプログラムを有意な規模で採用するかどうかが、このエージェントがAI支援開発スタックにおける永続的な存在となるか、それともリサーチプレビューのままにとどまるかを決定づけるでしょう。
