Codex Security - 리서치 프리뷰 공개

 (openai.com)
2P by GN⁺ 8시간전 | ★ favorite | 댓글과 토론
  • 프로젝트 맥락을 분석해 복잡한 취약점을 탐지·검증·패치하는 AI 기반 애플리케이션 보안 에이전트
  • 기존 보안 도구들이 생성하는 과도한 오탐과 저신뢰 경고 문제를 줄이고, 실제 위험이 큰 취약점에 집중하도록 설계됨
  • 베타 단계에서 SSRF·교차 테넌트 인증 취약점 등 실제 보안 결함을 탐지했으며, 오탐률 50% 이상 감소, 심각도 과대보고 90% 이상 감소 성과를 기록함
  • 현재 ChatGPT Pro·Enterprise·Business·Edu 고객에게 1개월 무료 연구 프리뷰로 제공되며, 시스템별 위협 모델링·검증·패치 제안 기능을 지원함
  • 오픈소스 생태계에서도 OpenSSH, GnuTLS, GOGS 등 주요 프로젝트의 CVE 취약점을 발견·보고하며, Codex for OSS 프로그램을 통해 유지보수자 지원 확대 예정임

Codex Security 개요

  • Codex Security는 OpenAI의 프런티어 모델과 Codex 에이전트를 활용해 프로젝트 맥락 기반의 보안 분석 수행
    • 단순한 정적 분석이 아닌 시스템별 컨텍스트 기반 탐지·검증·패치 자동화 지원
    • 보안팀이 중요 취약점에 집중하고 보안 코드 배포 속도 향상 가능
  • 기존 AI 보안 도구가 초래한 저신뢰 경고와 과도한 분류 작업 부담을 줄이는 것을 목표로 함

베타 테스트 및 성능 개선

  • 초기 베타(이전 명칭 Aardvark)에서 SSRF, 교차 테넌트 인증 취약점 등 실제 보안 결함을 탐지
  • 반복 스캔 결과, 노이즈 84% 감소, 심각도 과대보고 90% 이상 감소, 오탐률 50% 이상 감소
  • 30일간 120만 개 커밋을 스캔해 792건의 중요 취약점, 10,561건의 고심각도 취약점 탐지
    • 중요 취약점은 전체 커밋의 0.1% 미만으로, 대규모 코드에서도 효율적 탐지 가능성 입증

주요 기능

  • 시스템 컨텍스트 구축 및 위협 모델 생성
    • 리포지토리 구조를 분석해 프로젝트별 위협 모델 자동 생성
    • 모델은 편집 가능하며, 팀의 보안 기준에 맞게 조정 가능
  • 이슈 우선순위화 및 검증
    • 위협 모델을 기반으로 실제 영향도 중심의 취약점 분류 수행
    • 샌드박스 환경에서 검증해 신호와 노이즈 구분, 실행 가능한 PoC 생성 지원
  • 시스템 맥락 기반 패치 제안
    • 코드 의도와 주변 동작을 고려한 안전한 수정안 제시, 회귀 위험 최소화
    • 중요도 필터링으로 팀별 우선순위 관리 가능
  • 피드백 학습 기능
    • 사용자가 심각도를 조정하면, 이를 반영해 위협 모델 정밀도 향상

오픈소스 생태계 지원

  • OpenAI는 Codex Security로 자체 의존 오픈소스 리포지토리를 스캔하고, 발견된 중요 취약점 정보를 유지보수자와 공유
  • 유지보수자들은 저품질 보고서 과다 문제를 지적했으며, 이에 따라 Codex Security는 고신뢰 취약점 중심 보고 체계로 설계됨
  • Codex for OSS 프로그램을 통해 오픈소스 유지보수자에게 무료 ChatGPT Pro/Plus 계정, 코드 리뷰, 보안 분석 지원 제공
    • 초기 참여 프로젝트로 vLLM이 포함됨
    • 향후 더 많은 유지보수자에게 확장 예정

발견된 주요 오픈소스 취약점 (일부 CVE)

  • GnuTLS certtool Heap-Buffer Overflow (CVE-2025-32990)
  • GnuTLS Heap Buffer Overread in SCT Extension Parsing (CVE-2025-32989)
  • GnuTLS Double-Free in otherName SAN Export (CVE-2025-32988)
  • GOGS 2FA Bypass (CVE-2025-64175)
  • GOGS Unauth Bypass (CVE-2026-25242)
  • Path Traversal — download_ephemeral, download_children (CVE-2025-35430)
  • LDAP Injection — LdapUserMap 관련 함수 (CVE-2025-35431)
  • Disabled TLS Verification — Elasticsearch client (CVE-2025-35434)
  • Stack Buffer Overflow — gpg-agent PKDECRYPT (CVE-2026-24881) 등 다수 포함

배포 및 접근

  • ChatGPT Pro, Enterprise, Business, Edu 고객에게 Codex 웹을 통해 1개월 무료 연구 프리뷰 제공
  • 향후 Codex Security 문서 페이지에서 팀별 설정 및 사용법 확인 가능
  • NETGEAR은 초기 접근 프로그램 참여 기업으로, Codex Security가 보안 검토 속도와 심층성 강화에 기여했다고 평가함

결론

  • Codex Security는 AI 기반 보안 자동화와 고신뢰 취약점 검증을 결합한 새로운 접근
  • 보안팀의 효율성 향상, 오픈소스 생태계 강화, 대규모 코드베이스의 실질적 위험 탐지를 목표로 함