OpenAI、Codex Security研究プレビュー公開 リポジトリ保安ワークフローを自動化

OpenAIはMarch 6, 2026にCodex Securityをresearch previewとして公開した。これはCodexのcoding agentワークフローをapplication securityへ広げ、チームがrepositoryをscanし、コード変更を確認し、threat modelを読み解き、bugを再現し、修正案まで得られるようにする製品だ。

OpenAIは、この製品が単なるstatic findingの列挙ではない点を強調している。Codex Securityはrepository contextを取り込み、問題のあるコード経路を読み、実際にbug再現を試み、そのうえで開発者が検証できるremediation guidanceを返す設計だという。OpenAIはprivate GitHub repositoryだけでなくopen source projectにも対応すると説明した。

OpenAIが示した指標

• 内部benchmarkではsecurity review noiseが84%減少したとOpenAIは述べている。
• severityの過大判定は90%以上減少したという。
• false positivesは50%以上減少したと説明している。
• 過去30日間の1.2 million commitsをscanし、792件のcriticalと10,561件のhigh-severity findingを見つけたと公表した。

発表には実際のdisclosure事例も含まれていた。OpenAIはOpenSSHやLinux kernelのmaintainerに報告されたcritical vulnerabilityの発見にCodex Securityが役立ったと述べた。これは既存scannerの結果を並べるだけでなく、発見、検証、報告、修正提案までを一連の流れとして見せようとしていることを意味する。

現時点の利用範囲は限定的だ。OpenAIによれば、ChatGPT Pro, Enterprise, Business, EduユーザーがCodex web surface経由でresearch previewを利用でき、最初の1か月はfree usageが提供される。開発組織にとっての大きな示唆は、model vendorの競争軸がcode generationからsoftware assuranceとtriage品質へ広がっている点にある。