Ox Securityは、脆弱性を特定するだけでなく、それらを修正する組織固有のコードを自動生成するAI搭載の新しい拡張機能を発表しました。
このプラットフォームは、顧客が既に使用しているセキュリティツールと統合されます。この統合により、修正すべきコード内の脆弱性が開発者に提示されます。しかし、開発者はすでにプロダクトマネージャーからのさまざまなリクエストや、顧客からのパフォーマンス改善要望、社内スタッフからの新しいアプリやルーチンの依頼などで手一杯です。バグ修正の追加は、異なる重大度の要求が重なり、開発者が優先順位を把握するのをさらに困難にします。
Oxプラットフォームは、これら異なる要求をすでに選別し、開発者に「一般的な」解決策(例えば「ユーザーからのパラメータが直接データベースに渡らないようにすべきです」など)とともに優先順位を推奨します。一般的な推奨は、開発者に「何をすべきか」は伝えますが、「どうやるか」までは必ずしも示しませんし、もちろん開発者の代わりに実行することもありません。
新しいOx AIエージェント(Agent Oxと呼ばれる)は、このコンセプトをさらに一歩進め、バグを修正するコードを生成します。開発者はこのコードをレビューします。承認すれば、ワンクリックでコードリポジトリに追加され、次回のCI/CDダウンロード時に本番環境に組み込まれます。
AIは数年前からコーディングの問題解決を支援できていました。「しかし、ここに問題があります」とOx Securityは関連するブログで述べています。「これまで約束されてきたAI機能の多くは、一般的なものです。定型的なアドバイスや、誰にも合わない一律の修正しか生成できません。」
「私たちは何年も前から一般的な推奨を生成できていました」とOx Securityの共同創業者兼CEO、Neatsun Ziv氏は説明します。「しかし新しいシステムは、一般的な推奨ではありません。開発者自身の記述スタイルやパラメータ名、エコシステムで使われている文脈を利用し、実際に問題を修正する本物のコードを私たちが書き上げるのです。」
これは3段階のプロセスです。まず、コード、依存関係、コンテナ、実行環境全体でネイティブスキャンやサードパーティ統合を通じて脆弱性を特定します。次に、Oxが脆弱性が到達可能か、悪用可能か、影響があるかを判断し、ノイズや誤検知を排除し、優先順位付けを行います。最後に、新しいAgent Oxが組織のコードアーキテクチャや実行時コンテキストを分析し、安全でカスタマイズされた修正を生成します。
このコードは開発者によって確認されます。ワンクリックで承認できます。「そのワンクリックで変更が承認され、コードが変更されます。通常、それは自動的にリポジトリ(例えばGitHub)に送信され、コードベースに組み込まれます。そこからCI/CDが新しいコードを本番環境に、例えば週単位で反映するかもしれません」とZiv氏は続けます。
広告。スクロールして記事を読み続けてください。
その週次のサイクルには、50人の開発者から送られた50件の個別コード修正が含まれる可能性があります。いずれの場合も、未知の状態から自動検出・優先順位付け・コード生成・レビュー、そして50回の「ワンクリック」を経て本番環境へと進みます。
新しいコードはAgent Oxによって生成されます。これは実質的に、発見された脆弱性を異なる観点から見る複数のエージェントの集合体です。例えばその一つは「アーキテクト」の視点を持っています。
「アーキテクトタイプは、ビジネスロジックやデータベース構造、そのデータの意味を理解している人物です」とZiv氏は説明します。「これが今やエージェントとして表現され、『あなたのコード内でこの部分はPIIデータに触れ、この部分は認証機構に触れ、この部分はこれらのSaaSサービスにアクセスしています』と判断します。こうしたビジネスロジックや他のエージェントからの観点を方程式に組み込むことで、なぜこれが重要で、なぜ優先して修正すべきかについて非常に首尾一貫したバランスの取れた答えが得られます。」優先順位付けの後、Ox AIが問題を修正するコードを書きます。
「セキュリティツールは欠陥を指摘するだけでなく、開発者が脆弱性をインテリジェントに修正できるよう支援すべきです」とZiv氏は述べています。「開発者には、信頼を生み出し、彼ら固有のコードベースを理解するソリューションが必要です。一般的な修正は、しばしば問題を解決するどころか、かえって問題を増やしてしまいます。」
Agent Oxは、プログラマーが必要な結果を指定したり大規模なシステムを開発したりする必要のない、専門的かつ限定的なvibe coding(バイブコーディング)を提供します(vibe codingはこのような小さく制約のある修正に強みを発揮します)。仕様は、脆弱性の特定(Oxプラットフォーム)、複数視点からの分析による要件優先付けと修正コードの作成(Agent Ox)、そしてワンクリックでのレビューとコミット(開発者)から成り立っています。
AIとコーディングの未来は、オリジナルのvibe coding(まだそこまでは到達していませんが、数年後には可能かもしれません)と、それを維持する環境変化を理解する専門エージェントによって構成されるかもしれません。