OpenAIは3月5日、アプリケーションセキュリティ向けエージェント「Codex Security」を発表した。ChatGPT Pro、Enterprise、Business、Eduの顧客向けに、CodexのWebインターフェース経由で研究プレビューとして順次提供する。同社によれば、少なくとも今後1か月は無料で利用できるとしている。
Codex Securityは、コードベースを解析して脆弱性を見つけるだけでなく、実際に悪用可能かどうかの検証や、周辺の実装意図を踏まえた修正案の提示までを一連で担う点が特徴である。AIによるコード生成が開発速度を押し上げる一方で、既存のセキュリティツールでは誤検知や重要度の低い指摘が増え、レビュー負荷が高まっていることに対応する狙いがある。
Codex Securityの概要
Codex Securityは、OpenAIが以前「Aardvark」として限定顧客向けに運用していた仕組みを発展させたものだ。昨年のプライベートベータでは、実際のSSRFやテナント間認証に関わる重大な問題などを検出し、OpenAIの社内チームが短時間で修正したとしている。
OpenAIによれば、ベータ期間中に同一リポジトリへの継続的なスキャン精度が向上し、ある事例では初期展開時と比べてノイズを84%削減した。加えて、重要度を実態より高く見積もる割合は90%超、誤検知率は全リポジトリ平均で50%超低下したという。
仕組みと主な機能
Codex Securityの処理は大きく3段階で構成される。まず、リポジトリを解析してシステムの構造や信頼境界、露出しやすい箇所を整理し、編集可能な脅威モデルを作成する。これにより、単純なパターン照合ではなく、アプリケーション固有の文脈を踏まえた検出が可能になる。
次に、その脅威モデルを前提として脆弱性候補を探索し、可能な場合はサンドボックス化した検証環境で実際に成立するかを確かめる。OpenAIは、プロジェクトに合わせた実行環境を用意すれば、稼働中システムに近い条件での検証や、概念実証コードの生成にもつながるとしている。
最後に、発見した問題に対して、周辺コードの振る舞いや設計意図を踏まえた修正案を提示する。これにより、修正時の副作用やリグレッションを抑えやすくし、レビューと導入の負荷を下げる構成だ。
提供条件と現時点の実績
提供対象は発表時点でChatGPT Pro、Enterprise、Business、Eduであり、Codex Webから利用する形となる。OpenAIは今後数日かけてEnterprise、Business、Edu顧客へのアクセスを広げるとしている。
ベータ参加リポジトリでは、直近30日間で外部リポジトリの120万件超のコミットをスキャンし、792件の重大な問題と1万561件の高重要度の問題を見つけたという。重大な問題が見つかったのは全スキャン対象コミットの0.1%未満で、OpenAIはこの数字を、広範なコードを対象にしつつノイズを抑えた運用実績として位置付けている。
OSS向け支援も拡大
OpenAIは同時に、オープンソース保守者向け支援も拡大している。発表では、OpenSSH、GnuTLS、GOGS、libssh、PHP、Chromiumなどに対する高影響の脆弱性報告に触れており、これまでに14件のCVEが割り当てられたとしている。
あわせて、OSS向けプログラム「Codex for OSS」の初期参加者受け入れも始めた。OpenAIの説明では、この取り組みには無償のChatGPTアカウント、コードレビュー支援、Codex Securityの提供が含まれる。vLLMのように、通常の開発フローの中でCodex Securityを利用し始めたプロジェクトもあるという。
Sources