ai

Codex Security: 이제 연구 미리보기

발행: (2026년 3월 6일 PM 07:00 GMT+9)
13 분 소요
원문: OpenAI Blog

Source: OpenAI Blog

번역을 진행하려면 번역이 필요한 전체 텍스트를 제공해 주시겠어요? 텍스트를 주시면 요청하신 대로 한국어로 번역해 드리겠습니다.

Overview

오늘은 Codex Security, 우리의 애플리케이션 보안 에이전트를 소개합니다.
이 에이전트는 프로젝트에 대한 깊은 컨텍스트를 구축하여 다른 에이전트 기반 도구가 놓치는 복잡한 취약점을 식별하고, 시스템 보안을 실질적으로 향상시키는 수정 사항과 함께 높은 신뢰도의 결과를 제공하면서 중요하지 않은 버그의 잡음으로부터 여러분을 해방시킵니다.

실제 보안 위험을 평가할 때 컨텍스트는 필수적이지만, 대부분의 AI 보안 도구는 영향이 적은 결과와 오탐을 단순히 표시하여 보안 팀이 트라이에지에 상당한 시간을 소비하게 합니다. 동시에, 에이전트는 소프트웨어 개발을 가속화하고 있어 보안 검토가 점점 더 중요한 병목 현상이 되고 있습니다. Codex Security는 이러한 두 가지 과제를 해결합니다. 최첨단 모델의 에이전트 추론과 자동 검증을 결합함으로써 높은 신뢰도의 결과와 실행 가능한 수정을 제공하여 팀이 실제로 중요한 취약점에 집중하고 보다 빠르게 안전한 코드를 배포할 수 있도록 합니다.

배경

이전에는 Aardvark로 알려졌던 Codex Security는 작년에 소수의 고객을 대상으로 비공개 베타로 시작했습니다. 초기 내부 배포에서 다음과 같은 문제가 발견되었습니다:

  • 실제 SSRF,
  • 중대한 교차 테넌트 인증 취약점,
  • 우리 보안 팀이 몇 시간 안에 패치한 기타 여러 문제들.

외부 테스터와 함께한 초기 배포는 사용자가 관련 제품 컨텍스트를 제공하고 온보딩에서 코드 보안으로 전환하는 방식을 개선하는 데 도움이 되었습니다. 베타 기간 동안 우리는 발견 사항의 품질을 크게 향상시켰습니다:

  • 시간 경과에 따라 동일한 리포지토리를 스캔한 결과 정밀도가 향상되었으며, 초기 롤아웃 이후 한 사례에서는 잡음이 84 % 감소했습니다.
  • 과다 보고된 심각도를 가진 발견 사항 비율이 >90 % 감소했습니다.
  • 모든 리포지토리에서 탐지에 대한 오탐률이 >50 % 감소했습니다.

이러한 개선을 통해 보고된 심각도가 실제 위험과 일치하도록 하고, 불필요한 분류 부담을 줄이며, 신호‑대‑잡음 비율이 계속 개선될 것으로 기대합니다.

가용성

오늘부터 Codex Security가 Codex 웹을 통해 연구 미리보기 단계로 ChatGPT Enterprise, Business, Edu 고객에게 출시되며, 다음 달까지 무료 사용이 제공됩니다.

Codex 보안 작동 방식

Codex Security는 OpenAI의 최첨단 모델과 Codex 에이전트를 활용합니다. 시스템‑특정 컨텍스트에 기반해 취약점 발견, 검증, 패치를 수행함으로써 잡음을 줄이고 복구 속도를 높입니다.

  1. 시스템 컨텍스트 구축 및 편집 가능한 위협 모델 생성
    스캔을 구성한 후, 리포지토리를 분석하여 시스템의 보안 관련 구조를 이해하고, 시스템이 수행하는 작업, 신뢰하는 요소, 가장 노출된 부분을 포착한 프로젝트‑특화 위협 모델을 생성합니다. 위협 모델은 팀과 에이전트의 정렬을 유지하기 위해 편집할 수 있습니다.

  2. 이슈 우선순위 지정 및 검증
    위협 모델을 컨텍스트로 활용해 취약점을 탐색하고, 시스템 내 실제 영향도를 기준으로 결과를 분류합니다. 가능한 경우, 샌드박스 검증 환경에서 결과를 압력 테스트하여 신호와 잡음을 구분합니다. 사용자는 검증된 결과에서 이 분석을 확인할 수 있습니다. Codex Security가 프로젝트에 맞춘 환경으로 구성된 경우, 실행 중인 시스템에서 직접 잠재적인 문제를 검증하여 오탐을 더욱 감소시키고, 보안 팀에 강력한 증거와 명확한 복구 경로를 제공하는 작동 가능한 개념 증명을 제공합니다.

  3. 전체 시스템 컨텍스트를 활용한 이슈 패치
    Codex Security는 시스템 의도와 주변 동작에 맞는 수정안을 제안합니다. 이를 통해 보안을 강화하면서 회귀를 최소화하는 패치를 제공하므로 검토 및 적용이 보다 안전해집니다. 사용자는 팀에 가장 중요한 항목과 보안 영향도가 높은 항목에 집중하도록 결과를 필터링할 수 있습니다.

Continuous Learning

Codex Security는 피드백을 통해 시간이 지남에 따라 학습하여 발견 품질을 향상시킬 수 있습니다. 발견의 중요도를 조정하면 위협 모델이 정제되고 이후 실행 시 정밀도가 향상되어 귀하의 아키텍처와 위험 자세에서 무엇이 중요한지 학습합니다.

규모 및 영향

  • 지난 30 일 동안 Codex Security는 베타 코호트의 외부 리포지토리에서 >1.2 M 커밋을 스캔했습니다.
  • 그 결과 792건의 중대한 발견10,561건의 고위험 발견을 식별했습니다.
  • 중대한 이슈는 스캔된 커밋의 **<0.1 %**에서 나타났으며, 이는 검토자에게 불필요한 잡음을 최소화하면서 대규모로 보안 영향을 미치는 문제를 찾아낼 수 있음을 보여줍니다.

오픈소스 지원

오픈소스 소프트웨어는 현대 시스템의 기반을 이루며, 우리 제품도 예외는 아닙니다. 우리는 가장 많이 의존하는 오픈소스 저장소를 스캔하기 위해 Codex Security를 사용하고, 유지보수자와 고충격 보안 발견을 공유하여 그 기반을 강화하고 있습니다.

유지보수자와의 대화에서 일관된 주제가 나타났습니다: 문제는 취약점 보고서가 부족한 것이 아니라 품질이 낮은 보고서가 너무 많다는 것입니다. 유지보수자는 거짓 양성(false positive)을 줄이고, 실제 보안 문제를 부담 없이 드러낼 수 있는 지속 가능한 방법이 필요합니다. 이러한 통찰을 바탕으로 우리는 Codex Security를 통해 오픈소스 커뮤니티를 지원하고 있습니다:

  • 추측성 발견을 대량으로 생성하기보다, 유지보수자가 빠르게 조치할 수 있는 높은 신뢰도의 이슈를 우선시합니다.
  • 최근 Codex for OSS 프로그램에 초기 오픈소스 유지보수자 그룹을 온보딩하기 시작했으며, 이 프로그램은 무료 ChatGPT Pro 및 Plus 계정, 코드 리뷰 지원, 그리고 Codex Security를 제공합니다.
  • vLLM과 같은 프로젝트는 이미 Codex Security를 활용해 정상적인 워크플로우 내에서 문제를 찾아 수정하고 있습니다.

앞으로 몇 주 안에 프로그램을 확대하여 더 많은 유지보수자가 더 나은 보안, 강력한 리뷰 워크플로우, 그리고 오픈소스 생태계 지원에 직접 접근할 수 있도록 할 계획입니다.

Codex Security – 오픈소스 취약점 프로그램

오픈소스 유지보수자이며 관심이 있으시면, 연락 주세요.

우리는 앞으로 며칠 안에 ChatGPT Enterprise, Business, 및 Edu 고객에게 Codex Security 접근 권한을 순차적으로 제공할 예정입니다.
**문서**를 확인하여 팀에 Codex Security를 설정하는 방법을 알아보세요.

0 조회
#ai #ai-models #llm
원문 보기
Share:
Back to Blog

관련 글

더 보기 »