セキュアな開発を強力支援 OpenAIが新エージェント「Codex Security」を公開：セキュリティニュースアラート

OpenAIはアプリケーションの脆弱性を検出するAIエージェント「Codex Security」を公開した。プロジェクトを解析して脅威モデルを生成し、重大度の高い問題を抽出し修正案を提示する。高精度な分析でOSS開発を支援するという。

[ITmedia エンタープライズ編集部，ITmedia]

　OpenAIは2026年3月6日（現地時間）、アプリケーションの脆弱（ぜいじゃく）性を検出するエージェント「Codex Security」を研究プレビューとして公開した。

　開発プロジェクトの文脈を理解して脆弱性を検出し、実用性の高い修正案を提示する機能を備える。「ChatGPT Pro」「Enterprise」「Business」、Edu利用者は「Codex Web」経由で利用でき、公開から1カ月間は無料で試用できる。

AIで脆弱性検出と修正提案を自動化　OpenAIが新エージェント公開

　ソフトウェア開発はAIエージェントの導入によって開発速度が上昇している。一方でセキュリティレビューがボトルネックになりやすい状況がある。既存のAIセキュリティツールは影響の小さい問題や誤検知を多く提示する傾向があり、セキュリティ担当者が調査作業に時間を費やす課題があった。Codex Securityはこの問題に対応するため、システム固有の文脈を理解した分析と自動検証を組み合わせ、高い確度の結果を提示する設計となっている。

　同ツールはフロンティアモデルとCodexエージェントを基盤として動作する。リポジトリーを解析し、システム構造や信頼関係、攻撃にさらされやすい部分を把握してプロジェクト専用の脅威モデルを生成する。利用者はこの脅威モデルを編集でき、分析内容を自分たちの環境に調整できる。

　脆弱性探索ではこの脅威モデルを基に問題を検出し、実際のシステムへの影響度を評価する。可能な場合はサンドボックス環境で検証をし、誤検知と実際の問題を区別する。プロジェクト用の実行環境を設定した場合、稼働システムの状況を踏まえた検証も可能となり、実証コードの生成など修正作業に役立つ情報も提示される。

　問題が確認されると、Codex Securityはシステム設計や既存コードとの整合性を考慮した修正案を生成する。これによってセキュリティ改善と副作用の抑制を両立したパッチ作成を支援する。結果一覧は重要度などで絞り込みでき、開発チームは優先度の高い問題に集中できる。利用者のフィードバックも分析に反映される。検出された問題の重要度を利用者が変更すると、その情報を基に脅威モデルが更新され、次回の解析精度を高められる。

　Codex Securityは拡張性を重視した設計となっている。β期間の直近30日間には外部リポジトリーの120万件以上のコミットを解析し、792件の重大問題と1万561件の高リスク問題を検出した。重大問題は全体の0.1％未満のコミットに存在したとされ、大量のコードを分析しつつ不要な警告を抑制できる能力を示した。

　このツールは当初「Aardvark」という名称で非公開βとして開発された。初期導入ではSSRFやテナント間認証に関する重大な脆弱性などが発見され、OpenAIのセキュリティチームが短時間で修正を実施した。β期間を通じて検出精度も改善し、同一リポジトリーの再スキャンでは警告数が84％減少した例がある。重大度の過大評価は90％以上減少し、誤検知率も半分以下になった。

　オープンソース分野への支援も進めている。OpenAIは自社が利用する主要なオープンソースリポジトリーをCodex Securityで分析し、影響の大きい脆弱性をメンテナーへ報告している。OpenSSH、GnuTLS、GOGS、libssh、PHP、Chromiumなど複数のプロジェクトに対し報告し、14件のCVEが割り当てられた。

　開発者との対話においては、問題報告の不足ではなく質の低い報告の多さが課題であるとの指摘が多かった。そこでOpenAIは推測的な報告を大量に生成する方式ではなく、信頼度の高い問題を優先的に提示する設計を採用した。

　OpenAIはオープンソースへの支援プログラム「Codex for OSS」も開始した。参加するメンテナーにはChatGPT ProやPlusアカウント、コードレビュー支援、Codex Securityの利用環境が提供される。既にvLLMなどのプロジェクトが通常の開発作業の中で脆弱性検出と修正に活用している。今後数週間で対象プロジェクトを拡大し、オープンソース開発者がセキュリティレビューと保守作業を進めやすい環境の整備を目指す。