OpenAI、Codex Security研究プレビューを公開 文脈理解型application securityレビューを狙う
Original: Codex Security—our application security agent—is now in research preview. https://openai.com/index/codex-security-now-in-research-preview/ View original →
XでOpenAIが発表したこと
2026年3月6日、OpenAIはCodex Securityがresearch previewに入ったと発表した。投稿自体は短いが、リンク先の公式ページでの位置づけは明確だ。repositoryの文脈を理解し、可能性の高い脆弱性を検証し、一般的なAIセキュリティツールやstatic analysisより少ないnoiseでpatchまで提案するapplication security agentという説明である。
公式ページが補った内容
OpenAIによると、Codex Securityは以前はAardvarkとして運用され、昨年に少数顧客向けprivate betaとして始まった。初期の内部運用では実際のSSRFや重大なcross-tenant authentication vulnerabilityなどを見つけ、セキュリティチームが数時間以内に修正したという。ベータ期間中には精度面も大きく改善したと説明している。
- あるrepositoryではscan noiseが初期導入時比で84%減少したとされる。
- severityの過大報告率は90%以上下がったという。
- false positive rateもrepository全体で50%以上低下したと説明されている。
- 直近30日間でbeta cohortの120万件超のcommitを走査し、792件のcritical、10,561件のhigh-severity findingを特定したという。
OpenAIはworkflowを3段階で説明する。まずsystem向けのeditable threat modelを作り、次に文脈やsandbox環境で問題を検証し、最後にsystemの振る舞いと整合するpatchを提案する。さらに、このpreviewはChatGPT Pro、Enterprise、Business、Edu向けにCodex webで展開され、最初の1か月は無料利用になるとしている。
なぜ重要か
重要なのは、AI security reviewをgenericなSAST風のnoiseから、文脈理解型のapplication security triageへ移そうとしている点だ。agentic developmentツールがコード生成を加速するほど、security teamはfindingが正確で実行可能でなければ新しいボトルネックになりやすい。OpenAIはCodex Securityを、その経済性を変える道具として打ち出している。
validationとpatchingの主張が実際のrepositoryでも再現されるなら、セキュリティレビューは単なるキュー処理ではなく、より狙いを定めた調査に近づく可能性がある。もちろん多様なコードベースでこの精度を維持できるかは今後の検証次第だが、方向性は明確だ。application securityは事後スキャンではなく、agent workflowの中核要素になりつつある。
Related Articles
OpenAIは、Codex Securityが意図的にSAST reportを出発点にしていないと説明した。実際の脆弱性は単純なdataflowよりもvalidation orderやcanonicalizationなどのbehavior破綻から現れることが多いため、repository behaviorを直接検証する設計を重視するという。
OpenAIが前に出したのは単なる性能更新ではない。Terminal-Bench 2.0で82.7%、SWE-Bench Proで58.6%を示しつつ、GPT-5.4級のレイテンシーを保つとして、長い作業を任せるコーディングエージェントの基準を押し上げた。
OpenAI Developersは2026年3月29日のX投稿で、Codex Securityによって脆弱性の発見、検証、修正を支援すると発表した。AI coding tool が application security workflow に踏み込む動きとして注目される。
Comments (0)
No comments yet. Be the first to comment!