で
OpenAIがコードの脆弱性を自動で発見・検証・修正提案するセキュリティエージェント「Codex Security」を研究プレビューとして公開しました。
ChatGPT Pro、Enterprise、Business、Eduユーザー向けに提供され、最初の1ヶ月は無料で利用できます。
ベータ期間中の直近30日間で120万件以上のコミットをスキャンし、792件の重大(Critical)および10,561件の高深刻度(High)の脆弱性を検出したという実績は、開発者コミュニティに大きな衝撃を与えています。
何が起きたか
Codex Securityは、OpenAIが2025年10月に非公開ベータとして開始した「Aardvark」プロジェクトの進化版です。
単にコードをスキャンして警告を出すだけの従来型ツールとは異なり、「プロジェクトの文脈を深く理解したうえで脆弱性を見つける」という点に大きな特徴があります。
具体的には、3つのステップで動作します。
第1ステップでは、リポジトリを分析して「脅威モデル」を自動生成します。
そのシステムが何をするのか、何を信頼しているのか、どこが最も攻撃にさらされやすいのかを把握し、プロジェクト固有のセキュリティマップを作成します。
この脅威モデルはチームが編集でき、AIの判断軸をカスタマイズできます。
第2ステップでは、脅威モデルを文脈として活用しながら脆弱性を探索し、実際のシステム上での影響度に基づいて優先順位をつけます。
さらに、サンドボックス環境で脆弱性を実際にテストし、誤検知を排除してから報告します。
第3ステップでは、システム全体の文脈を踏まえた修正パッチを提案します。
既存の動作を壊さないよう配慮された修正案が提示されるため、開発チームはレビューして適用するだけで済みます。
すでに出ている成果
Codex Securityの実力を最も端的に示しているのが、オープンソースプロジェクトでの脆弱性発見実績です。
OpenSSH、GnuTLS、GOGS、PHP、Chromiumといった広く使われているソフトウェアで重大な脆弱性が発見されており、すでに14件のCVE(共通脆弱性識別番号)が正式に付与されています。
GnuTLSではヒープバッファオーバーフロー、GOGSでは二要素認証のバイパスや認証なしでのアクセスといった、深刻度の高い脆弱性が含まれています。
さらに注目すべきは、同じリポジトリに対するスキャンを繰り返す中で、誤検知率が50%以上低下しているという報告です。
「使えば使うほど精度が上がる」という学習効果が確認されており、従来のセキュリティツールとの質的な違いを示しています。
なぜこのニュースが重要なのか
「AIが書く→AIが守る」というフェーズの転換
GitHub CopilotやClaude Code、Codexといったツールにより、AIによるコード生成はすでに日常化しています。
しかし、AIが高速にコードを書けるようになった分、セキュリティレビューが追いつかないという新たなボトルネックが生まれていました。
Codex Securityは、まさにこのギャップを埋めるために設計されています。
開発スピードを落とさずにセキュリティを担保する「AIで書いて、AIで守る」という一貫したワークフローが現実のものになりつつあります。
従来型ツールの限界を「文脈理解」で突破
既存のセキュリティスキャナーの最大の問題は「ノイズの多さ」でした。
大量の低優先度アラートや誤検知に埋もれて、本当に危険な脆弱性を見落とすセキュリティチームが長年抱えてきたこの課題に対し、Codex Securityは「プロジェクト固有の文脈を理解する」というアプローチで応えています。
汎用的なルールで機械的にチェックするのではなく、そのシステムの構造、信頼関係、実際の攻撃面を理解したうえで脆弱性を評価する。
NETGEARのプロダクトセキュリティ責任者は、「経験豊富なセキュリティ研究者がチームで一緒に働いているような感覚」と評価しています。
オープンソースのサプライチェーン防衛
OpenAIはCodex Securityの活用をオープンソースコミュニティにも広げています。
「Codex for OSS」プログラムとして、オープンソースのメンテナーに無料のChatGPT Proアカウントやコードレビューツール、Codex Securityへのアクセスを提供すると発表しました。
現代のソフトウェアはオープンソースのライブラリに大きく依存しており、そのサプライチェーンの安全性は社会的なインフラ問題でもあります。
AIの力でオープンソースの脆弱性を先回りして発見・修正する取り組みは、業界全体のセキュリティ底上げにつながる可能性があります。
知っておくべき懸念点
一方で、AI駆動のセキュリティツールへの過度な依存を懸念する声もあります。
単一のベンダーに依存することのリスクや、AIが見つけられない種類の脆弱性(サプライチェーン攻撃やセマンティックレベルの脅威など)の存在は、セキュリティ専門家の間で議論されています。
また、Bloombergの報道によれば、AIの活用が進む中でセキュリティ課題に対応できていると考える組織はわずか29%にとどまるとのこと。
Codex Securityのようなツールは解決策の一部であり、人間のセキュリティ専門家の判断や組織的なセキュリティ文化と組み合わせてこそ真価を発揮するものです。
今後の注目ポイント
Codex Securityの公開と前後して、AnthropicもClaude Code Securityをリリースしており、AIセキュリティエージェントの競争は本格化しています。
今後は、こうしたツールがどれだけ実際の開発現場に浸透し、脆弱性の発見・修正サイクルを変えていくかが焦点になります。
AIでコードを書く時代は、すでに来ています。
そして今、AIでコードを守る時代も始まりました。
開発に携わる人にとっても、AIを学ぶ人にとっても、セキュリティの知識がこれまで以上に重要になる転換点と言えるでしょう。
動画編集
生成AI
副業・フリーランス
デザイン
キャリア
マーケティング
インタビュー
