OpenAIは3月6日、アプリケーションセキュリティに特化したAIエージェント「Codex Security」をリサーチプレビューとして公開しました。ChatGPT Pro、Enterprise、Business、Eduの顧客向けに、Codex Web経由で1ヶ月間無料で利用可能です。従来のセキュリティツールが見逃しがちな複雑な脆弱性を、プロジェクト固有のコンテキストを深く理解することで検出するのが特徴です。
Codex Securityの仕組みは独特です。まずリポジトリを分析してセキュリティ上重要な構造を把握し、プロジェクト固有の脅威モデルを生成します。この脅威モデルには、システムが何をするか、何を信頼するか、どこが最も脆弱かが記述されており、チームが編集することも可能です。脅威モデルをコンテキストとして使用し、実際の影響に基づいて検出結果を分類することで、重要でないバグのノイズを排除します。ベータ期間中の30日間で120万以上のコミットをスキャンし、792件の重大脆弱性と10,561件の高重大度の問題を検出しました。Hacker Newsでは「AIコーディングツールのセキュリティ問題に対応する動き」として注目されています。
精度の改善も著しく、同じリポジトリの継続スキャンでは、ノイズが84%削減、重大度の過大報告は90%以上減少、誤検知率は全リポジトリで50%以上低下しています。AI支援コーディングの普及に伴いセキュリティリスクへの懸念が高まる中、OpenAIのこの取り組みは開発ワークフローにおけるセキュリティ確保の新たなアプローチとして期待されています。