「AIがコードを書く」時代の次に来るのは、「AIがコードの穴を見つけて塞ぐ」時代だ。
OpenAIは2026年3月6日、Codex Securityをリサーチプレビューとして公開した。これは、ソフトウェアのセキュリティ脆弱性を自動的に発見し、検証し、修正パッチまで提案するAIエージェントだ。
Codex Securityは何をするのか
従来のセキュリティスキャンツールは、コードを機械的にチェックして「怪しい箇所」をリストアップするものだった。問題は、その大半が誤検知(false positive)や重要度の低い警告であること。セキュリティチームは大量のアラートの中から本当に危険なものを選り分ける「トリアージ」作業に膨大な時間を費やしていた。
Codex Securityのアプローチは根本的に異なる。まずプロジェクト全体を分析し、そのシステムが「何をしているのか」「何を信頼しているのか」「どこが最も危険にさらされているのか」を理解した上で、編集可能な脅威モデルを生成する。このモデルに基づいて脆弱性を検索し、サンドボックス環境で実際にテストした上で、現実的な影響度の高いものだけを報告する。
数字で見る成果
ベータテスト期間中の実績は以下の通りだ:
- 過去30日間で120万件以上のコミットをスキャン
- 792件のクリティカル(最重要)な脆弱性を発見
- 10,561件の高重要度の問題を特定
- 誤検知率が50%以上低下
- 重要度の過剰報告が90%以上減少
さらに、OpenSSH、GnuTLS、PHP、Chromiumなど、世界中で使われているオープンソースプロジェクトから14件のCVE(共通脆弱性識別子)を発見・報告している。
なぜ非エンジニアが知るべきなのか
セキュリティは「技術者の仕事」だと思っている経営者は多い。しかし、サイバー攻撃で実際に被害を受けるのは企業の信用と顧客データだ。そして攻撃者も今やAIを武器にしている。
Codex Securityの登場は、「AIが攻撃に使われるなら、防御もAIで」という時代のシフトを象徴している。Anthropic(Claude開発元)も先月「Claude Code Security」を発表しており、AI大手がセキュリティ市場に本格参入する構図が鮮明になってきた。
利用条件
現在、ChatGPT Pro、Enterprise、Business、Eduの契約者が利用可能。最初の1ヶ月間は無料で使える。オープンソース開発者向けには「Codex for OSS」プログラムも用意されており、無料のChatGPT Proアカウントとセキュリティスキャン機能が提供される。
SYNCONの視点
重要なのは、Codex Securityが単なる「バグ検出ツール」ではなく、プロジェクトの文脈を理解した上で判断を下す「AIセキュリティ研究者」に近い存在だということだ。NETGEARのセキュリティ責任者は「経験豊富なプロダクトセキュリティ研究者が隣で働いているような感覚」と評している。
セキュリティ人材の不足は日本でも深刻だ。AIがこの領域を補完するということは、セキュリティ対策の「コスト」と「スピード」の常識が根本から変わる可能性がある。経営判断としても無視できないトレンドだ。
ソース
- OpenAI — Codex Security: now in research preview
- The Hacker News — OpenAI Codex Security Scanned 1.2 Million Commits
- Axios — OpenAI rolls out Codex Security
SYNCON FREE DIAGNOSIS
あなたの業務に最適なAIツール、
まだ見つかっていませんか?
8つの質問に答えるだけ。約2分で完了。
SYNCON編集部が、あなた専用のAI活用プランをお届けします。
コメント