OpenAI의 application security agent Codex Security, research preview 시작

2026년 3월 6일 OpenAI는 X를 통해 Codex Security의 research preview 시작을 발표했다. OpenAI는 Codex Security를 project context를 이해해 취약점을 찾고, 검증하고, 패치까지 도울 수 있는 application security agent로 소개했다.

OpenAI 설명에 따르면 Codex Security는 이전에 Aardvark라는 이름으로 개발됐으며, repository마다 project-specific threat model을 구성해 이슈의 우선순위를 더 정확히 판단한다. 회사 발표문은 이 시스템이 최근 30일 동안 외부 repository의 commit 120만 건 이상을 스캔했고, 그 과정에서 critical 792건과 high severity 10,561건을 식별했다고 밝혔다.

• OpenAI는 한 대형 codebase에서 security alert noise가 84% 감소했다고 설명했다.
• 2025년 8월 대비 2026년 2월 기준으로 severity 과대 분류는 약 90%, false positive는 50% 이상 줄었다고 주장한다.
• Codex Security는 Codex web을 통해 ChatGPT Pro·Enterprise·Business·Edu 사용자에게 research preview 형태로 제공되며, 첫 한 달은 추가 비용이 없다.

핵심은 AI coding tool의 역할이 code generation에서 verification과 remediation으로 이동하고 있다는 점이다. 이는 보안팀의 운영 방식도 바꾼다. 개발자가 코드를 작성하고 배포하는 같은 workflow 안에서 dependency context, exploitability, fix validation까지 함께 판단하는 agent가 등장하면 application security는 별도의 마지막 점검이 아니라 개발 파이프라인의 일부가 된다.

물론 실제 운영 환경에서도 이런 precision이 유지되는지는 더 검증이 필요하다. 그래도 이번 preview는 developer productivity와 AppSec 운영 사이를 잇는 AI agent가 본격화되고 있음을 보여준다. 원문 X post는 여기, 상세 소개는 OpenAI에서 볼 수 있다.