OpenAIが発表した「Codex Security」は、かつて少数顧客向けのプライベートベータ版として「Aardvark」の名称で提供されていたツールを正式名称に改めたものである。このAIエージェントは、一般的な自動解析ツールが見落としがちな複雑な脆弱性を特定し、信頼性の高い不具合の発見と修正案を提示する。

　
　動作の仕組みとして、まずソフトウェアのリポジトリ全体を分析し、機能や露出している攻撃領域を整理したプロジェクト固有の脅威モデルを自動生成する。次に、その脅威モデルをコンテキストとして脆弱性を探索し、サンドボックス環境などで実証を行い、最後にシステムの設計意図や関連機能の挙動に合わせた修正パッチを提案する。

　ベータテスト期間中、同ツールは参加組織の外部リポジトリにおける120万件以上のコミットをスキャンした。その結果、792件のクリティカルな不具合と1万件を超える重大な不具合を特定している。この過程において、従来のセキュリティツールで課題とされてきた偽陽性を50パーセント以上削減し、重要性の低い不具合による不要なアラートを抑えることで、セキュリティチームの確認作業による負担軽減を実現している。

　さらにOpenAIは、自社が依存している主要なオープンソースプロジェクトに対しても同ツールを適用し、スキャンを実施した。OpenSSHやGnuTLS、Chromiumなどを対象とした分析により、CVEとして登録された14件の重大な脆弱性を発見し、各プロジェクトの保守担当者に報告を行っている。

　これに伴い、オープンソースエコシステムの健全性を維持・支援するための「Codex for Open Source」プログラムの受け入れ開始も発表した。同プログラムでは、審査基準を満たしたアクティブなプロジェクトの保守担当者に対し、ChatGPTの有償アカウントやCodex Securityへのアクセスが条件付きで提供される。

　Codex Securityは、ChatGPT Enterprise、Business、Edu、Proの各プランを利用する顧客向けに、Codexのウェブインターフェースを通じて順次提供が開始されている。公開から1カ月間は無料で利用可能であり、今後はAIによる自律的な監査がソフトウェア開発サイクルにおけるセキュリティ確保の新たな手法として定着していくことが見込まれる。