🛡️ OpenAI Codex Security - 리서치 프리뷰 공개

출처: [openai.com] (5P by GN+)

📌 핵심 요약

프로젝트 맥락 기반 보안 분석 AI 에이전트: 복잡한 취약점 탐지·검증·패치 자동화
기존 보안 도구의 과도한 오탐과 저신뢰 경고 문제 해결에 집중
오탐률 50% 이상 감소, 심각도 과대보고 90% 이상 감소
30일간 120만 개 커밋 스캔 → 792건 중요 취약점, 10,561건 고심각도 취약점 탐지
오픈소스 생태계 지원: OpenSSH, GnuTLS, GOGS 등 주요 프로젝트 CVE 발견·보고

🔍 Codex Security 개요

기존 문제

기존 AI 보안 도구: 저신뢰 경고와 과도한 분류 작업 부담 초래
보안팀이 실제 위험보다 노이즈 처리에 시간 소비

Codex Security 접근

단순 정적 분석이 아닌 시스템별 컨텍스트 기반 탐지·검증·패치 자동화
OpenAI 프런티어 모델 + Codex 에이전트 활용
보안팀이 중요 취약점에 집중하고 보안 코드 배포 속도 향상

📊 베타 테스트 성과

지표	결과
노이즈 감소	84% 감소
심각도 과대보고 감소	90% 이상 감소
오탐률 감소	50% 이상 감소
스캔 커밋 수 (30일)	120만 개
중요 취약점 탐지	792건
고심각도 취약점 탐지	10,561건
중요 취약점 비율	전체 커밋의 0.1% 미만

탐지된 실제 보안 결함

SSRF 취약점
교차 테넌트 인증 취약점

⚙️ 주요 기능

1. 시스템 컨텍스트 구축 및 위협 모델 생성

리포지토리 구조 분석 → 프로젝트별 위협 모델 자동 생성
모델은 편집 가능, 팀 보안 기준에 맞게 조정 가능

2. 이슈 우선순위화 및 검증

위협 모델 기반 실제 영향도 중심 취약점 분류
샌드박스 환경에서 검증 → 신호와 노이즈 구분
실행 가능한 PoC(개념 증명) 생성 지원

3. 시스템 맥락 기반 패치 제안

코드 의도와 주변 동작 고려한 안전한 수정안 제시
회귀 위험 최소화
중요도 필터링으로 팀별 우선순위 관리

4. 피드백 학습

사용자 심각도 조정 → 위협 모델 정밀도 향상 반영

🌐 오픈소스 생태계 지원

Codex for OSS 프로그램

오픈소스 유지보수자에게 무료 ChatGPT Pro/Plus 계정 제공
코드 리뷰, 보안 분석 지원
초기 참여 프로젝트: vLLM

발견된 주요 오픈소스 CVE (일부)

프로젝트	취약점	CVE
GnuTLS	certtool Heap-Buffer Overflow	CVE-2025-32990
GnuTLS	Heap Buffer Overread (SCT Extension)	CVE-2025-32989
GnuTLS	Double-Free (otherName SAN Export)	CVE-2025-32988
GOGS	2FA Bypass	CVE-2025-64175
GOGS	Unauth Bypass	CVE-2026-25242
GOGS	Path Traversal	CVE-2025-35430
GOGS	LDAP Injection	CVE-2025-35431
GOGS	Disabled TLS Verification	CVE-2025-35434
gpg-agent	Stack Buffer Overflow (PKDECRYPT)	CVE-2026-24881

🚀 배포 및 접근

항목	내용
대상	ChatGPT Pro, Enterprise, Business, Edu 고객
제공	1개월 무료 연구 프리뷰
접근	Codex 웹을 통해
초기 참여 기업	NETGEAR (보안 검토 속도와 심층성 강화 기여 평가)

💡 시사점

AI 기반 보안 자동화와 고신뢰 취약점 검증의 결합이라는 새로운 접근
기존 보안 도구의 노이즈 문제를 실질적으로 해결
오픈소스 생태계의 보안 강화에 직접 기여
대규모 코드베이스에서도 실질적 위험 탐지 가능성 입증

🔗 관련 태그

OpenAI 보안 취약점 CVE 오픈소스 CodexSecurity AI보안 정적분석