OpenAI は新しいアプリケーションセキュリティエージェント「Codex Security」の研究プレビューを開始しました。これは、従来の AI セキュリティツールが抱える大量の低品質な検知や偽陽性の問題に対処するために設計されたもので、プロジェクトの深い文脈を理解し、システムに真の影響を与える複雑な脆弱性のみを特定します。かつて「Aardvark」と呼ばれていた本プロジェクトは、昨年から特定の顧客向けにプライベートベータ版として展開され、SSRF（サーバーサイドリクエスト偽装）や跨テナント認証の脆弱性といった重大な問題を実際に発見・修正する成果を上げてきました。ベータ期間中、システムは検知の精度を劇的に向上させ、不要なノイズを 84% 削減し、重大度に関する過剰報告を 90% 以上、偽陽性率を 50% 以上減少させることに成功しました。これにより、開発チームは重要な脅威に集中し、迅速かつ安全なコードリリースが可能になります。本ツールは OpenAI の最前線モデルと「Codex エージェント」を活用し、システム固有の文脈に基づいて脆弱性の発見、検証、パッチ適用を自動化します。さらに、ユーザーからのフィードバック、例えば脆弱性の重要度調整などを通じて、リスクモデルを学習・洗練させる機能も備えています。過去 30 日間のベータ期間において、120 万件以上のコミットをスキャンし、792 の重大な問題と 1 万件以上の高深刻度の問題を検知しましたが、これらは全体の 0.1% 未満のコミットにのみ存在し、大量のコードを処理しつつレビュー者の負担を最小限に抑えていることを示しています。Open source（オープンソース）ソフトウェアの基盤強化という観点から、Codex Security は主要なリポジトリのスキャンを行い、発見した高インパクトな問題を維持者に共有しています。オープンソースの維持者からは、報告数が足りないのではなく、低品質な報告が多すぎて作業が非効率になっているという声が上がっており、このフィードバックをもとに「Codex for OSS」プログラムが立ち上げられました。このプログラムでは、vLLM などのプロジェクトが既にこのツールを用いてセキュリティパッチを適用しており、今後はより多くの維持者を対象にサポートを拡大する予定です。現在、Codex Security は ChatGPT Enterprise、Business、Edu の顧客向けに研究プレビューとして提供されており、来週から通常の利用が開始される見込みです。オープンソースプロジェクトの維持者やチームの皆様は、公式ドキュメントを参照して設定を開始できます。