OpenAIのCodexセキュリティがSASTレポートを使わない理由

当サイトではアフィリエイトプログラムを利用して商品を紹介しています。

OpenAIは、AIによるコードセキュリティ検査ツール「Codex Security」の設計思想について説明しました。既存のSAST（静的アプリケーションセキュリティテスト）レポートをベースにしないという意図的な設計判断が核心です。 SASTはコード内のデータの流れを追跡し、危険な入力が安全な処理を経ずに実行される箇所を検出する手法です。しかし、セキュリティ上の問題の多くは「データの流れ」ではなく「検証の仕組みが本当に機能しているか」にあるという点で、SASTには限界があります。例えば、URLのバリデーション処理がデコード処理の前に行われている場合、バリデーション自体は存在しても、その後の変換によって無効化されることがあります。 Codex Securityはコードとその意図から調査を開始し、z3ソルバーを使った数理的検証やサンドボックス環境での実行検証など複数の手法を組み合わせて、「問題があるかもしれない」から「問題が実在する、そして修正方法はこれだ」まで引き上げることを目標としています。 SASTレポートを起点にしない理由として、調査範囲が過度に絞られるリスク、暗黙の判断が推論を歪めるリスク、そしてAIエージェント自身の能力評価が困難になる点の3つを挙げています。SASTツール自体は依然として有効な手段であるとしつつも、AIによるセキュリティ調査には異なるアプローチが必要だと結論付けています。