Codex Security 출시: 애플리케이션 보안 에이전트

오늘 저희는 애플리케이션 보안 에이전트인 Codex Security를 소개합니다. 이 도구는 프로젝트에 대한 깊은 컨텍스트를 구축하여 다른 에이전트 기반 도구가 놓치는 복잡한 취약점을 식별하고, 시스템의 보안을 의미 있게 개선하는 수정 사항과 함께 높은 신뢰도의 발견 사항을 제시함으로써 사소한 버그로 인한 노이즈로부터 여러분을 보호합니다.

실제 보안 위험을 평가할 때는 컨텍스트가 필수적이지만, 대부분의 AI 보안 도구는 낮은 영향력의 발견 사항이나 오탐(false positives)만 플래그를 지정하여 보안 팀이 분류 작업에 상당한 시간을 쓰도록 강요합니다. 동시에 에이전트는 소프트웨어 개발 속도를 높이고 있어 보안 검토가 점점 더 중요한 병목 현상이 되고 있습니다. Codex Security는 이 두 가지 문제를 모두 해결합니다. 최첨단 모델의 에이전트 기반 추론과 자동화된 검증을 결합하여, 팀들이 중요하게 생각하는 취약점에 집중하고 안전한 코드를 더 빠르게 배포할 수 있도록 높은 신뢰도의 발견 사항과 실행 가능한 수정 사항을 제공합니다.

과거 Aardvark로 알려졌던 Codex Security는 작년 소수의 고객을 대상으로 비공개 베타로 시작했습니다. 초기 내부 배포에서 이 도구는 실제 SSRF, 중요한 크로스-테넌트 인증 취약점 등 수많은 문제를 발견했고, 저희 보안 팀은 몇 시간 만에 이를 패치했습니다. 외부 테스터를 대상으로 한 초기 배포는 사용자가 관련 제품 컨텍스트를 제공하는 방법을 개선하고 온보딩 단계를 넘어 코드를 보호하도록 하는 데 도움이 되었습니다. 또한 베타 기간 동안 발견 사항의 품질을 크게 향상시켰습니다: 시간이 지남에 따라 동일한 저장소에서 스캔한 결과, 정밀도가 높아져 한 사례에서는 초기 배포 대비 노이즈를 84% 줄였습니다. 과도하게 보고된 심각도로 인한 발견 비율은 90% 이상 감소했으며, 모든 저장소에서 탐지된 오탐률은 50% 이상 하락했습니다. 이러한 개선 사항들은 Codex Security가 보고된 심각도를 실제 위험과 더 잘 일치시키고 보안 팀의 불필요한 분류 부담을 줄이는 데 도움이 되며, 신호 대 노이즈 비율이 계속 향상될 것으로 기대합니다.

오늘부터 Codex Security는 ChatGPT Pro, Enterprise, Business 및 Edu 고객에게 Codex 웹을 통해 연구 프리뷰로 출시되며, 다음 한 달 동안 무료로 사용할 수 있습니다.

Codex Security는 OpenAI의 최첨단 모델과 Codex 에이전트를 활용합니다. 시스템별 컨텍스트에 취약점 발견, 검증 및 패치를 기반함으로써 노이즈를 줄이고 수정 속도를 높일 수 있습니다.

• 시스템 컨텍스트 구축 및 편집 가능한 위협 모델 생성: 스캔을 구성한 후, 이 도구는 저장소를 분석하여 시스템의 보안 관련 구조를 이해하고, 시스템이 무엇을 하는지, 무엇을 신뢰하는지, 그리고 어디에 가장 많이 노출되어 있는지 포착할 수 있는 프로젝트별 위협 모델을 생성합니다. 위협 모델은 팀과 동기화되도록 편집될 수 있습니다.
• 문제 우선순위 지정 및 검증: 위협 모델을 컨텍스트로 사용하여 취약점을 검색하고, 시스템에서 예상되는 실제 영향력에 따라 발견 사항을 분류합니다. 가능한 경우, 샌드박스 검증 환경에서 발견 사항을 압력 테스트하여 신호와 노이즈를 구별합니다. 사용자는 이 분석을 검증된 발견 사항에서 확인할 수 있습니다. Codex Security가 프로젝트에 맞춰진 환경과 구성되면, 실행 중인 시스템의 컨텍스트 내에서 잠재적인 문제를 직접 검증할 수 있습니다. 이러한 더 깊은 검증은 오탐률을 더욱 줄이고 작동하는 개념 증명(proof-of-concepts) 생성을 가능하게 하여 보안 팀에게 더 강력한 증거와 명확한 수정 경로를 제공합니다.
• 전체 시스템 컨텍스트로 문제 패치: 마지막으로, Codex Security는 발견된 문제에 대해 시스템 의도 및 주변 동작과 일치하는 수정 사항을 제안합니다. 이는 회귀(regressions)를 최소화하면서 보안을 개선할 수 있는 패치를 가능하게 하여 검토하고 적용하기 더 안전하게 만듭니다. 사용자는 발견 사항을 필터링하여 팀에게 가장 중요하고 가장 높은 보안 영향을 미치는 것에 집중할 수 있습니다.

Codex Security는 또한 시간이 지남에 따라 사용자 피드백으로부터 학습하여 발견 사항의 품질을 개선할 수 있도록 설계되었습니다. 발견 사항의 심각도를 조정하면, 이를 사용하여 위협 모델을 정교화하고 이후 실행에서 정밀도를 높여 사용자의 아키텍처 및 위험 태세에서 중요한 것이 무엇인지 학습합니다.

대규모로 작동하도록 설계되었으며 가장 높은 신뢰도의 발견 사항과 쉽게 수용 가능한 패치를 제시합니다. 지난 30일 동안 Codex Security는 베타 코호트의 외부 저장소에서 120만 개 이상의 커밋을 스캔하여, 792개의 심각한 취약점 및 10,561개의 높은 심각도 발견 사항을 식별했습니다. 심각한 문제는 스캔된 커밋의 0.1% 미만에서 나타나, 시스템이 노이즈를 최소화하면서 대량의 코드에서 보안에 영향을 미치는 문제를 식별할 수 있음을 보여줍니다.