新しいAI駆動型AppSecツールは、初期テスト中に数百件の重大な欠陥と数千件の高リスク問題を発見したと報告されています。
OpenAIの新しいAppSecエージェント、Codex Securityは、最初の30日間の研究テスト期間中に、実際のコードベースで11,000件以上の高リスクおよび重大な欠陥をフラグしています。ソフトウェアリポジトリの脆弱性を自動的に検出、検証、修正するように設計されたこのツールは、スキャンされた100万件以上のコミットから約800件の重大問題を特定したと報告されています。
OpenAIのブログ投稿によると、このツールはスタティックスキャナーというより、コードベースを研究し、潜在的な攻撃経路をマッピングし、修正を提案するセキュリティ研究者のように機能することを意図しています。「大規模に動作し、受け入れやすいパッチで最も信頼度の高い検出結果を表示するように設計されています」と同社は書いています。
OpenAIによると、このツールはプロジェクト全体の文脈的理解を構築し、現実的に悪用可能な脆弱性に焦点を当てることができるようにします。これにより、AppSecチームの長年のアラート疲れに対処します。
専有およびオープンソース プロジェクトで発見された欠陥
最初のテストサイクルで、OpenAIは外部リポジトリ全体で120万件以上のコミットをスキャンし、792件の重大な脆弱性と10,561件の高リスク問題を特定したと述べています。同社は、重大問題がスキャンされたコミットの0.1%未満に見られるため、比較的低いノイズを維持しながら、さまざまな実際のコードベースから検出結果が得られたと述べています。
「Netgearは早期アクセスプログラムへの参加で喜んでおり、結果は期待を上回りました」と、Netgearのプロダクトセキュリティ責任者であるChandan Nandakuraiaは、投稿内で共有されたコメントで述べています。「Codex Securityは私たちの強力なセキュリティ開発環境にシームレスに統合され、レビュープロセスのペースと深さを強化しました。」
専有リポジトリを超えて、OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP、Chromiumを含むいくつかの広く使われているオープンソースプロジェクトでも脆弱性がフラグされており、これまでに14件のCVEが割り当てられています。
OpenAIは、これらの取り組みは、メンテナーにCodexツールとセキュリティレビューサポートへの無料アクセスを提供する、より広い「Codex for OSS」イニシアティブの一部であると述べています。同社は、今後数週間以内にプログラムを拡大し、より多くのオープンソースメンテナーをエコシステムに取り込む予定です。
同社は、Codex Securityによって発見された13件の高影響度OSSの脆弱性を強調しており、パストラバーサル、サービス拒否(DoS)、および認証バイパスの問題に及んでいます。
「Aardvark」実験からAIセキュリティ研究者へ
Codex Securityは、OpenAIが選定ユーザーでのテストを開始したAI駆動型の脆弱性研究エージェントであるAardvarkという名前の以前の内部プロジェクトから進化しました。Aardvarkの背後にある概念は、AIエージェントがコードを読み、可能な悪用経路をテストし、攻撃者がシステムをどのように侵害する可能性があるかを推論することでした。
このエージェント的なワークフローにより、Codex Securityシステムは人間のセキュリティ研究者がどのように動作するかを模倣することができます。AIはリポジトリの履歴を分析し、エントリーポイントと信頼境界を特定する脅威モデルを構築し、その後、機密データに至る可能性のある攻撃経路を探索します。
潜在的な脆弱性が発見されると、システムはサンドボックス環境で問題を再現し、報告する前にそれが悪用可能であることを確認します。検証後、開発者がレビューして自分のワークフローにマージできるとおり、修正案の形式で修復ガイダンスを生成します。
Codex Securityはまた、時間をかけてフィードバックから学び、検出結果の品質を向上させることができます。「検出結果の重大度を調整すると、そのフィードバックを使用して脅威モデルを改善し、ユーザーのアーキテクチャとリスク姿勢に何が重要かを学ぶにつれて、後続の実行での精度を向上させることができます」と同社は投稿で追加しました。3月9日からは、Codex Securityはティムティム・ウェブ経由でChatGPT Pro、Enterprise、Business、およびEducationのお客様に向けた研究プレビューで利用可能であり、次の30日間は無料で使用できます。
