LLM Mar 18, 2026 1 min read
OpenAIは、Codex Security を事前生成された SAST レポートの triage 製品としてではなく、repository の実際の挙動と trust boundary を理解したうえで仮説を検証する agent として設計したと説明した。重要な脆弱性は source-to-sink の追跡だけでは捉え切れず、security invariant が本当に成立しているかを確かめる必要があるという立場だ。
#sast
RSS FeedLLM Mar 17, 2026 1 min read
OpenAIは、Codex Securityが意図的にSAST reportを出発点にしていないと説明した。実際の脆弱性は単純なdataflowよりもvalidation orderやcanonicalizationなどのbehavior破綻から現れることが多いため、repository behaviorを直接検証する設計を重視するという。