# Codex Security - 리서치 프리뷰 공개 > Clean Markdown view of GeekNews topic #27275. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=27275](https://news.hada.io/topic?id=27275) - GeekNews Markdown: [https://news.hada.io/topic/27275.md](https://news.hada.io/topic/27275.md) - Type: GN+ - Author: [xguru](https://news.hada.io/@xguru) - Published: 2026-03-07T11:05:39+09:00 - Updated: 2026-03-07T11:05:39+09:00 - Original source: [openai.com](https://openai.com/index/codex-security-now-in-research-preview/) - Points: 5 - Comments: 0 ## Summary OpenAI가 공개한 **Codex Security**는 프로젝트 맥락을 이해해 실제로 위험한 취약점만 선별·패치하는 **AI 보안 에이전트**입니다. 기존 정적 분석 도구의 오탐과 과대보고 문제를 줄이고, 코드 의도 기반의 수정안을 제안해 보안팀의 검토 속도를 크게 높입니다. 오픈소스 생태계에서도 주요 프로젝트의 CVE를 직접 찾아내며, **Codex for OSS 프로그램**을 통해 유지보수자에게 분석·리뷰 지원을 제공합니다. ## Topic Body - 프로젝트 맥락을 분석해 **복잡한 취약점을 탐지·검증·패치**하는 AI 기반 애플리케이션 보안 에이전트 - 기존 보안 도구들이 생성하는 **과도한 오탐과 저신뢰 경고** 문제를 줄이고, 실제 위험이 큰 취약점에 집중하도록 설계됨 - 베타 단계에서 **SSRF·교차 테넌트 인증 취약점 등 실제 보안 결함**을 탐지했으며, **오탐률 50% 이상 감소**, **심각도 과대보고 90% 이상 감소** 성과를 기록함 - 현재 ChatGPT Pro·Enterprise·Business·Edu 고객에게 **1개월 무료 연구 프리뷰**로 제공되며, **시스템별 위협 모델링·검증·패치 제안 기능**을 지원함 - 오픈소스 생태계에서도 **OpenSSH, GnuTLS, GOGS 등 주요 프로젝트의 CVE 취약점**을 발견·보고하며, **Codex for OSS 프로그램**을 통해 유지보수자 지원 확대 예정임 --- ### Codex Security 개요 - Codex Security는 **OpenAI의 프런티어 모델과 Codex 에이전트**를 활용해 프로젝트 맥락 기반의 보안 분석 수행 - 단순한 정적 분석이 아닌 **시스템별 컨텍스트 기반 탐지·검증·패치 자동화** 지원 - 보안팀이 중요 취약점에 집중하고 **보안 코드 배포 속도 향상** 가능 - 기존 AI 보안 도구가 초래한 **저신뢰 경고와 과도한 분류 작업 부담**을 줄이는 것을 목표로 함 ### 베타 테스트 및 성능 개선 - 초기 베타(이전 명칭 Aardvark)에서 **SSRF, 교차 테넌트 인증 취약점 등 실제 보안 결함**을 탐지 - 반복 스캔 결과, **노이즈 84% 감소**, **심각도 과대보고 90% 이상 감소**, **오탐률 50% 이상 감소** - 30일간 120만 개 커밋을 스캔해 **792건의 중요 취약점**, **10,561건의 고심각도 취약점** 탐지 - 중요 취약점은 전체 커밋의 0.1% 미만으로, **대규모 코드에서도 효율적 탐지 가능성** 입증 ### 주요 기능 - **시스템 컨텍스트 구축 및 위협 모델 생성** - 리포지토리 구조를 분석해 **프로젝트별 위협 모델** 자동 생성 - 모델은 편집 가능하며, 팀의 보안 기준에 맞게 조정 가능 - **이슈 우선순위화 및 검증** - 위협 모델을 기반으로 **실제 영향도 중심의 취약점 분류** 수행 - 샌드박스 환경에서 검증해 **신호와 노이즈 구분**, **실행 가능한 PoC 생성** 지원 - **시스템 맥락 기반 패치 제안** - 코드 의도와 주변 동작을 고려한 **안전한 수정안 제시**, 회귀 위험 최소화 - **중요도 필터링**으로 팀별 우선순위 관리 가능 - **피드백 학습 기능** - 사용자가 심각도를 조정하면, 이를 반영해 **위협 모델 정밀도 향상** ### 오픈소스 생태계 지원 - OpenAI는 Codex Security로 **자체 의존 오픈소스 리포지토리**를 스캔하고, 발견된 **중요 취약점 정보를 유지보수자와 공유** - 유지보수자들은 **저품질 보고서 과다 문제**를 지적했으며, 이에 따라 Codex Security는 **고신뢰 취약점 중심 보고 체계**로 설계됨 - **Codex for OSS 프로그램**을 통해 오픈소스 유지보수자에게 **무료 ChatGPT Pro/Plus 계정, 코드 리뷰, 보안 분석 지원** 제공 - 초기 참여 프로젝트로 **vLLM**이 포함됨 - 향후 더 많은 유지보수자에게 확장 예정 ### 발견된 주요 오픈소스 취약점 (일부 CVE) - **GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)** - **GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)** - **GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)** - **GOGS 2FA Bypass (CVE-2025-64175)** - **GOGS Unauth Bypass (CVE-2026-25242)** - **Path Traversal — download_ephemeral, download_children (CVE-2025-35430)** - **LDAP Injection — LdapUserMap 관련 함수 (CVE-2025-35431)** - **Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)** - **Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881)** 등 다수 포함 ### 배포 및 접근 - **ChatGPT Pro, Enterprise, Business, Edu 고객**에게 Codex 웹을 통해 **1개월 무료 연구 프리뷰** 제공 - 향후 **Codex Security 문서 페이지**에서 팀별 설정 및 사용법 확인 가능 - **NETGEAR**은 초기 접근 프로그램 참여 기업으로, Codex Security가 **보안 검토 속도와 심층성 강화에 기여**했다고 평가함 ### 결론 - Codex Security는 **AI 기반 보안 자동화와 고신뢰 취약점 검증**을 결합한 새로운 접근 - **보안팀의 효율성 향상**, **오픈소스 생태계 강화**, **대규모 코드베이스의 실질적 위험 탐지**를 목표로 함 ## Comments _No public comments on this page._