DocsDigest
Back to listLanguage: JA
OpenAIOpenAI NewsMar 6, 2026, 10:00 AM

Codex Security: now in research preview

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

Codex Security: now in research preview

application-securityai-agentthreat-modelingvulnerability-validationoss-securitypatch-generation

Key Points

  • Research preview available to Pro, Enterprise, Business, Edu
  • Agent builds editable threat models and validates findings in context
  • Generates actionable patches and substantially reduces false positives

Summary

Codex Security is an application-security agent released in research preview (Mar 6, 2026). It combines frontier models and an agentic workflow with automated validation to build repository-specific threat models, prioritize and validate findings, and propose context-aware patches — reducing false positives and triage overhead while surfacing high-confidence, actionable fixes.

Key Points

  • Rollout: research preview available to ChatGPT Pro, Enterprise, Business, and Edu via Codex web (free for one month).
  • Core workflow: analyze repo to create an editable project threat model; prioritize issues by projected real-world impact; pressure-test findings in sandboxed or configured environments; generate patches aligned with system intent.
  • Measured gains: scanned >1.2M commits in 30 days; identified 792 critical and 10,561 high-severity findings; noise cut by up to 84% in one case; >90% reduction in over-reported severity; false positives down >50%.
  • OSS support: reported high-impact vulnerabilities to major projects, contributed to CVEs, and launched Codex for OSS to help maintainers.
  • Engineering practices: provide an environment for validation, edit the threat model to reflect architecture, filter findings by impact, review proposed patches, and feed back criticality adjustments to improve future runs.

Getting started

  • Read the Codex Security docs and enable scans for your team.
  • Configure project-specific environments to enable deeper validation and working PoCs.
  • Use threat-model edits and filters to reduce noise and focus on high-impact remediation.

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

Codex Security:リサーチプレビューとして提供開始

Codex Security:リサーチプレビューとして提供開始

2026-03-06 · Product Security

本日、アプリケーションセキュリティエージェント「Codex Security」を発表します。Codex Security はプロジェクトに関する深いコンテキストを構築し、他のエージェント型ツールが見落としがちな複雑な脆弱性を特定します。これにより、ノイズの多い低影響の指摘を減らし、実用的で信頼度の高い修正案を提示してシステムのセキュリティを実質的に向上させます。

コンテキストは実際のセキュリティリスクを評価する上で不可欠です。しかし、多くの AI セキュリティツールは低影響の検出や誤検知を単に列挙するだけで、セキュリティチームはトリアージに多くの時間を割かれます。一方で、エージェントはソフトウェア開発を加速しており、セキュリティレビューが重要なボトルネックになりつつあります。Codex Security はこの二つの課題に対応します。最先端モデルによるエージェント的推論と自動検証を組み合わせることで、信頼度の高い検出と実行可能な修正を提供し、チームが重要な脆弱性に集中してより早く安全なコードを出荷できるようにします。

以前は Aardvark と呼ばれていた Codex Security は、昨年少数の顧客とともにプライベートベータとして始まりました。初期の内部導入では、実際の SSRF、重大なテナント間認証脆弱性などを発見し、当社のセキュリティチームが数時間以内に修正した事例があります。外部テスターとの初期導入を通じて、ユーザーが関連するプロダクトコンテキストをどう提供するか、オンボーディングからコードの保護へ移行するワークフローを改善しました。

また、ベータ期間中に検出精度を大幅に改善しました。同じリポジトリでのスキャンを時間をかけて比較すると、あるケースでは初期展開以降ノイズを84%削減しました。報告された深刻度が過大評価される件数は90%以上減少し、検出の誤検知率は全リポジトリで50%以上低下しました。これらの改善により、報告される深刻度と実際のリスクの整合性が向上し、セキュリティチームの不要なトリアージ負担が軽減されています。今後も信号対雑音比は改善を続ける見込みです。

Starting today、Codex Security は Codex web 経由で ChatGPT Pro、Enterprise、Business、Edu のお客様向けにリサーチプレビューとして展開を開始し、最初の1か月間は無料でご利用いただけます。

Codex Security の仕組み

Codex Security は OpenAI の最先端モデルと Codex agent を活用します。システム固有のコンテキストに基づいて脆弱性の発見、検証、パッチ適用を行うことでノイズを減らし、修復を加速します。

  • ビルドシステムコンテキストと編集可能な脅威モデルの作成

    • スキャンを設定すると、リポジトリを解析してシステムのセキュリティ関連構造を把握し、プロジェクト固有の脅威モデルを生成します。脅威モデルはシステムの役割、信頼するもの、露出が大きい箇所を捉えられるように設計されています。
    • 脅威モデルは編集可能で、チームの意図とエージェントの整合性を保てます。

  • 問題の優先付けと検証

    • 脅威モデルをコンテキストとして使用し、脆弱性を探索して、システム内での実際の影響に基づいて所見を分類します。
    • 可能な場合はサンドボックス化された検証環境で所見をプレッシャーテストし、信号とノイズを区別します。ユーザーはこの分析を「validated findings(検証済み所見)」として確認できます。
    • Codex Security をプロジェクトに合わせた実行環境で構成すると、実行中のシステムの文脈で直接潜在的な問題を検証できます。この深い検証により誤検知がさらに減り、動作する Proof-of-Concept を作成できるため、セキュリティチームはより強力な証拠と明確な修復手順を得られます。

  • システム全体のコンテキストに基づくパッチ提案

    • 発見した問題に対して、システムの意図や周辺の振る舞いに沿った修正案を提案します。これにより、回帰を最小化しつつセキュリティを改善するパッチが作成され、レビューや導入がより安全になります。
    • ユーザーは所見をフィルタリングして、チームにとって最も重要で高いセキュリティ影響を持つものに集中できます。

Codex Security はユーザーからのフィードバックを学習し、時間をかけて所見の品質を向上させます。所見の重要度を調整すると、そのフィードバックを使って脅威モデルを洗練し、次回以降の実行で精度を改善します。大規模に動作するように設計されており、受け入れやすいパッチとともに最も信頼度の高い所見を提示します。

過去30日間で、Codex Security はベータコホートの外部リポジトリに対して120万件以上のコミットをスキャンし、792件のクリティカル所見と10,561件の高重大度所見を特定しました。クリティカルな問題はスキャンしたコミットの0.1%未満に出現しており、大量のコードからセキュリティに影響する問題を特定しつつレビュアーへのノイズを最小化できることを示しています。

導入事例

「製品セキュリティに全集中している企業として、NETGEAR は早期アクセスプログラムに参加できたことを喜んでいます。結果は期待を上回りました。Codex Security は我々の強固なセキュリティ開発環境に難なく統合され、レビューの速度と深さを強化しました。所見は非常に明確かつ包括的で、まるで経験豊富なプロダクトセキュリティ研究者が共に作業しているかのようでした。」

— Chandan Nandakumaraiah, Head of Product Security at NETGEAR and Member of CVE Board

オープンソースコミュニティの支援

オープンソースソフトウェアは現代のシステム(当社のシステムも含む)の基盤です。私たちは Codex Security を使って依存するオープンソースリポジトリをスキャンし、影響の大きいセキュリティ所見をメンテナに共有して基盤を強化しています。

メンテナとの対話で一貫して挙がった課題は、脆弱性レポートが足りないのではなく、低品質なレポートが多すぎるという点でした。メンテナは誤検知が少なく、実際のセキュリティ問題を持続可能な方法で浮かび上がらせる仕組みを求めています。こうした声は Codex Security によるオープンソース支援の方針形成に影響を与えました。大量の推測的な所見を生成するのではなく、メンテナが迅速に対応できる高信頼度の問題を優先するシステムを構築しています。

この取り組みの一環として、OpenSSH (opens in a new window)、GnuTLS (opens in a new window)、GOGS (opens in a new window)、Thorium (opens in a new window)、libssh、PHP、Chromium など、広く使われるオープンソースプロジェクトに対して重要な脆弱性を報告しました。14件のCVEが割り当てられ、そのうち2件は二重報告での割当があります。付録に一部の例を示します。

最近、Codex for OSS の初期コホートとしてオープンソースメンテナの受け入れを開始しました。これはエコシステムを支援するための無償の ChatGPT Pro/Plus アカウント、コードレビュー、Codex Security を提供するプログラムです。vLLM のようなプロジェクトはすでに Codex Security を通常ワークフローの一部として利用し、問題の発見と修正を行っています。数週間以内にこのプログラムを拡大し、より多くのメンテナが直接的により良いセキュリティ、強化されたレビューのワークフロー、オープンソース活動への支援を受けられるようにする予定です。オープンソースのメンテナで参加に興味がある方は、ご連絡ください。

はじめ方

Codex Security へのアクセスは今後数日にかけて ChatGPT Enterprise、Business、Edu のお客様に順次展開します。チーム向けの Codex Security 設定方法についてはドキュメント (opens in a new window) をご確認ください。

付録

Codex Security が発見した高影響な OSS 脆弱性の例:

  • GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990 (opens in a new window)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989 (opens in a new window)
  • GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988 (opens in a new window)
  • 2FA Bypass GOGS — CVE-2025-64175 (opens in a new window)
  • Unauth bypass GOGS — CVE-2026-25242 (opens in a new window)
  • Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430 (opens in a new window)
  • LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431 (opens in a new window)
  • Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432 (opens in a new window), CVE-2025-35436 (opens in a new window)
  • Session not rotated on password change — User::update_user — CVE-2025-35433 (opens in a new window)
  • Disabled TLS verification — Elasticsearch client — CVE-2025-35434 (opens in a new window)
  • DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435 (opens in a new window)
  • gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881 (opens in a new window)
  • Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882 (opens in a new window)
  • CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467 (opens in a new window)
  • PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187 (opens in a new window)

関連記事:

  • Introducing GPT-5.4 mini and nano · Company · Mar 17, 2026
  • Why Codex Security Doesn’t Include a SAST Report · Product · Mar 16, 2026
  • Designing AI agents to resist prompt injection · Security · Mar 11, 2026