OpenAIのCodex Securityが登場し、AIサイバーセキュリティ分野でのAnthropicとの競争が激化しています。

OpenAI、AnthropicのClaude Code Securityに対抗しCodex Securityを発表

このリリースは、人間のセキュリティチームでは到底及ばない速度で大規模なソフトウェアプロジェクトを精査できるAIツールへの関心が高まる中で行われました。Codex Securityはリポジトリを分析し、脆弱性を特定したうえで、隔離されたテスト環境で検証し、開発者が適用前に確認できる修正案を提案するよう設計されています。システムはコミットごとに文脈を構築し、単なる断片的なフラグ付けではなく、コードの進化過程を理解できるようにします。OpenAIは次のように記しています：

「Codex Securityを発表します。アプリケーションセキュリティエージェントとして、脆弱性の発見・検証・修正案の提案を通じてコードベースの保護を支援します。これによりチームは重要な脆弱性に集中し、コードの迅速なリリースが可能になります」

OpenAIによると、このツールは2025年5月に導入されたクラウドベースのAIエンジニアリングアシスタント「Codex」エコシステムを基盤としています。Codexは開発者のコード記述、バグ修正、プルリクエスト提案を支援します。同社によれば、2026年3月時点でCodexの利用者は週約160万人に達しました。Codex Securityはこれらの機能をアプリケーションセキュリティ領域に拡張するもので、この業界セグメントの年間市場規模は約200億ドルと推定されています。

OpenAIの発表は、GPT-5.3 InstantおよびGPT-5.4のリリースと同時に実施されました。この動きは、Anthropicが2月20日に発表したClaude Code Security（コードベース全体をスキャンし、検出された脆弱性に対するパッチを提案するツール）に続くものです。 Claude Opus 4.6モデルを基盤とするこのツールは、人間のセキュリティ研究者のようにソフトウェアを推論しようとする。静的スキャンルールのみに依存せず、ビジネスロジック、データフロー、システム間の相互作用を分析する。Anthropicによれば、Claude Code Securityは既にオープンソースソフトウェアプロジェクト全体で500以上の脆弱性を特定しており、中には長年見過ごされていた問題も含まれる。 同社は現在、企業およびチーム顧客向けに研究プレビューとして本機能を提供中です。オープンソースのメンテナは無料で優先アクセスを申請できます。 両社は、コードの文脈を推論できるAIシステムが、大量の誤検知を生成しがちな従来型脆弱性スキャナーを上回ると見込んでいます。この問題に対処するため、Claude Code Securityは発見事項を再検証し、深刻度と信頼度スコアを付与する多段階検証システムを採用しています。

一方、Codex Securityは若干異なるアプローチを取ります。モデル推論だけに依存せず、エージェントがサンドボックス環境内で疑わしい脆弱性を検証してから結果を提示します。OpenAIによれば、このプロセスによりノイズが低減され、テスト中に収集した証拠に基づいてAIが発見結果をランク付けできるといいます。OpenAIはX（旧Twitter）で「Codex Securityは昨年プライベートベータ版としてリリースされたAardvarkを起源とする」と説明し、さらに次のように付け加えました：

その後、シグナル品質を大幅に向上させ、ノイズを削減するとともに、深刻度精度の向上と誤検知率の低減を実現し、発見結果が現実世界のリスクとより整合するよう改善しました」

Codex Security の結果を確認する開発者は、裏付けデータを検証し、提案されたパッチのコード差分を確認し、Github ワークフローを通じて修正を統合できます。また、攻撃対象範囲、リポジトリ範囲、リスク許容度などのパラメータを調整することで、脅威モデルをカスタマイズすることも可能です。

Anthropicの発表はサイバーセキュリティ業界の一部を揺るがしましたが、OpenAIの参入は現時点では市場のパニックよりも話題を生んでいます。2月にClaude Code Securityがデビューした際、CrowdstrikeやPalo Alto Networksなど複数のサイバーセキュリティ関連株が一時5～10％下落しましたが、その後の取引セッションでほぼ回復しました。

当時、アナリストはAIツールがアプリケーションセキュリティ市場の一部を代替する可能性への懸念が売りを誘ったと分析しました。しかし、多くの研究者はAIツールは既存のセキュリティプラットフォームを完全に置き換えるよりも補完する可能性が高いと主張しています。AI支援型脆弱性検出技術は過去2年間で急速に進歩し、大規模言語モデル（LLM）がCapture-the-Flag競技や自動脆弱性発見といったサイバーセキュリティ研究タスクに参加するケースが増えています。 こうした機能は防御側がソフトウェアの弱点をより迅速に特定するのに役立つが、攻撃者が同様のシステムを悪用する可能性への懸念も生じている。こうしたリスクに対処するため、OpenAIは2月5日に「Trusted Access for Cyber」イニシアチブを開始し、審査済みのセキュリティ研究者に防御研究目的で高度なモデルへの管理されたアクセスを提供している。Anthropicもパシフィック・ノースウェスト国立研究所との提携や内部レッドチームプログラムを通じて、同様のアプローチを取っている。

AIセキュリティエージェントの登場は、自律システムがソフトウェアの脆弱性を継続的に分析・テスト・修復する「エージェント型サイバーセキュリティ」への転換を示しています。成功すれば、脆弱性の発見からパッチ適用までの時間を短縮でき、これは現代のソフトウェアセキュリティにおける最大の弱点の一つです。

開発者やセキュリティチームにとって、このタイミングは無視できません。AIはもはやコードを書くだけではありません——同じワークフロー内でコードを監査し、破壊し、修正する存在となったのです。そしてOpenAIとAnthropicが真っ向から競合する今、次世代サイバーセキュリティツールは従来のスキャナーではなく、眠らず、文句も言わず、理想的にはハッカーより先にバグを捕捉するAIエージェントとして登場するかもしれません。

FAQ 🤖

• OpenAIのCodex Securityとは何ですか？ Codex SecurityはAI搭載のアプリケーションセキュリティエージェントで、GitHubリポジトリをスキャンし、脆弱性を検証し、コード修正を提案します。
• Codex Securityは従来型の脆弱性スキャナーとどう違うのですか？ AI推論とサンドボックス検証を用いてコードコンテキストを分析し、誤検知を低減します。
• AnthropicのClaude Code Securityとは何ですか？ Claude Code Securityは競合するAIツールで、AnthropicのClaudeモデルを用いてコードベースの脆弱性をスキャンし、パッチを提案します。
• なぜAI企業がサイバーセキュリティエージェントを開発しているのですか？ AIエージェントは従来のツールよりも迅速にソフトウェアの脆弱性を検出・修正できるため、開発者が大規模なコードセキュリティを強化するのに役立ちます。