OpenAI’s Codex Security Built to Automate Vulnerability Discovery and Remediation
2026/03/07 gbhackers — OpenAI が正式に発表したのは、脆弱性の発見と修復の自動化を目的とする、高度なアプリケーション・セキュリティ・エージェント Codex Security である。これまでは、Aardvark として知られていたツールであり、現在はリサーチ・プレビュー版として提供されている。 最先端の AI モデルと自動検証を組み合わせることで、手動によるセキュリティ・レビューのボトルネックを解消し、トリアージ・ノイズを大幅に削減することを目的としている。これにより、開発チームによる安全なコードの出荷/リリースが迅速に行われるようになる。
コンテキスト・ドリブン型の脅威検知
従来の AI セキュリティ・ツールの傾向として、影響の小さな問題に対するアラートや誤検知の発生による、セキュリティ・チームへの的外れなプレッシャーが指摘されてきた。
この問題に対処するために、Codex Security はリポジトリを深く解析し、それぞれの固有の構造を理解する。その後に、編集可能なプロジェクト固有の脅威モデルを生成し、システムが実行する内容/信頼する対象/最も攻撃に晒される場所を定義する。これにより、セキュリティ・チェックは実際のシステム露出状況に正確に整合する。
このコンテキストを活用することで、エージェントによる脆弱性の探索が試行され、現実世界での影響度に基づいた優先順位付けが行われる。サンドボックス化された検証環境で、Codex Security は検出結果をストレス・テストし、高信頼なレポートを担保する。
この深度における検証により、真の脅威と無関係なノイズを分離し、実際に機能する概念実証 (PoC) エクスプロイトの生成も可能にする。最終的に、このツールはシステム挙動に合わせた自動パッチを提案し、ソフトウェアのリグレッションを防止しながら、修復に要する期間を短縮する。
なお、ベータ期間中においても、Codex Security は大幅な精度改善を示している。スキャン結果では、全体ノイズが 84% 減少し、過大評価された深刻度判定が 90% 減少し、誤検知率が 50% 低減した。
さらにアダプティブ・ラーニング機能を備え、セキュリティ・チームが検出結果の重要度を調整するたびに、脅威モデルを継続的に洗練させている。直近の 30日間において、外部リポジトリで 120 万件以上のコミットをスキャンし、792 件の Critical な脆弱性を検出し、10,561 件の High の脆弱性を特定したという。
早期導入した企業は、すでにエンタープライズ環境における有効性を確認している。NETGEAR の Head of Product Security である Chandan Nandakumaraiah は、同社の堅牢なセキュリティ開発環境に対して、このエージェントを容易かつシームレスに統合できたと説明している。
また、検出結果は非常に明確かつ包括的であり、経験豊富なプロダクト・セキュリティ・リサーチャーが、内部チームと並走してレビューを支援しているような感覚が得られたと、彼は強調している。
オープン・ソース・エコシステムの保護
OpenAI が推進するのは、Codex Security の活用による、オープン・ソース・ソフトウェアのサプライ・チェーンの強化である。 オープン・ソースのメンテナたちが、大量の低品質なバグ報告に圧倒されている状況を踏まえ、実際の環境での悪用の可能性が高く、修正による対処が可能な脆弱性だけを優先するよう、このシステムはデザインされている。
この取り組みにより、すでに Codex Security は、広く利用されている複数のオープン・ソース・プロジェクトにおいて、深刻な脆弱性を発見している。たとえば、OpenSSH ポータブル版の脆弱性 (Critical)/GnuTLS の脆弱性 (High)/Gogs のリポジトリ露出問題などを特定し、セキュリティ・アドバイザリ発行につなげている。
さらに、このエージェントは、Thorium の脆弱性 CVE-2025-35430 も発見している。この取り組みにより、パッチが適用された主要プロジェクトには、PHP/libssh/Chromium などが含まれる。
これまでに、このエージェントにより発見された脆弱性には、合計で 14 件の CVE が割り当てられている。
開発者コミュニティを支援するために、OpenAI は Codex for OSS プログラムを立ち上げた。ChatGPT Pro の無償アカウント/コード・レビュー機能/Codex Security へのアクセスを、オープン・ソース・メンテナ向けに提供するものだ。
すでに vLLM などのプロジェクトは、このプラットフォームを活用し、通常の開発ワークフロー内で問題を発見/修正している。 2026年3月7日より Codex Security は、Codex Web インターフェイス経由でリサーチ・プレビューとして提供される。その対象は、ChatGPT Pro/Enterprise/Business/Edu ユーザーであり、初月は無償での利用が可能となる。
セキュリティの現場では、日々膨大なアラートが発生しており、その中から真に修正が必要なものを見極める作業が大きな負担となっています。今回の記事で紹介された Codex Security (旧称 Aardvark ) は、システムの構造を深く解析することで、従来のツールで課題となっていた誤検知やノイズを大幅に削減してくれます。このツールの核となるのは、実際のシステム露出状況に基づいた脅威モデルの構築です。サンドボックス環境での検証を通じて、実際に動作するエクスプロイトを生成し、真の脅威のみを特定する仕組みが取られています。オープンソース・プロジェクトの保護においても、この高精度が発揮されており、Thorium の脆弱性 CVE-2025-35430 を含む 14 件の CVE を、実際に特定しているとのことです。こうした、AI による自動検証の仕組みを理解することで、より効率的で安全な開発に繋げられるはずです。よろしければ、OpenAI での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.