OpenAIは3月6日(米国時間)、「Codex Security: now in research preview|OpenAI」において、アプリケーションのコードレビューを支援するセキュリティエージェント「Codex Security(旧称Aardvark)」の早期評価版(リサーチプレビュー)の提供開始を発表した。
このツールは一般的なAIエージェントツールが見落としがちな複雑な脆弱性を特定することで信頼性の高い不具合の発見と修正案を提示し、システムのセキュリティを実質的に向上させ、重要性の低い不具合によるノイズを抑制し、効率的なセキュリティ対策を実現するという。
-
OpenAIがセキュリティエージェントの早期評価版を公開
OpenAIがCodex Securityを開発した狙い
開発現場では生成AIを活用した作業効率化が進む一方で、セキュリティチームの負担は増大する傾向にある。自動生成したコードの安全性は高いとは言えず、コードレビューが開発速度のボトルネックとなっている。OpenAIはこの課題を解決するため、最先端AIモデルの推論能力と自動検証を組み合わせ、信頼性の高い現実的な修正案を提供する仕組みとしてCodex Securityを開発した。
AIがコードレビューを実行する「Codex Security」の仕組み
Codex Securityはまずリポジトリ全体を分析し、システムの仕組み、信頼関係、露出している攻撃領域を整理してプロジェクト固有の脅威モデルを生成する。次に脅威モデルをコンテキストに用い、脆弱性の探索と影響を分類する。最後にシステムの意図や関連システムの挙動に合わせた修正案を提案する。
この一連の動作により、セキュリティ向上とデグレードの最小化を両立し、安全なレビューやパッチの配信を可能にする。セキュリティ担当者は重要度や影響範囲に応じて修正案を絞り込み、優先順位を付けて対応できる。
120万超のコミットを分析、792件の重大問題を検出
OpenAIは過去30日間に実施したベータ版テストにおいて、参加組織の外部リポジトリにおける120万件以上のコミットを分析し、792件の緊急の不具合と、10561件の重大な不具合を特定したことを明らかにした。
また、緊急の不具合の検出率が0.1%未満に抑えられており、機能の有効性と共に、負担増の要因となるノイズを抑制する能力も示している。
OpenSSHやChromiumなどOSSで14件の脆弱性発見
OpenAIは自社が依存する主要なオープンソースプロジェクトにCodex Securityを適用し、発見した不具合をプロジェクトの保守担当者に報告したという。具体的にはOpenSSH、GnuTLS、Chromiumなどのオープンソースプロジェクトを対象にスキャンを実施し、CVEとして登録された14件の脆弱性を発見した。
一部のオープンソースプロジェクトはソフトウェアエコシステムの基盤となっており、そのセキュリティ確保は重要と言える。そこでOpenAIはオープンソースプロジェクトの健全性維持を目的に、「Codex for Open Source | OpenAI」の受け入れ開始を発表した。
アクティブなオープンソースプロジェクトの保守担当者からの応募を受け付け、利用価値の高さ、幅広い採用実績、またはソフトウェアエコシステムにとって明確な重要性を持つかを審査し、基準を満たすプロジェクトに対して6カ月間のChatGPT Proアクセス、Codex Securityへの条件付きアクセス、その他APIクレジットを提供する。
企業および教育機関向けには、ChatGPT Enterprise、Business、Eduの各プランの顧客に対して近日中に提供を開始する。詳しい利用方法は「Codex Security setup」にて解説しており、セキュリティ対策に活用することが望まれている。
