Codex Security新機能で脆弱性診断する使い方

「セキュリティって難しそう…」「自分のコード、穴だらけだったら怖い」って感じますよね。そんな人に刺さるニュースが出ました。OpenAIがCodex Security（アプリケーションセキュリティ支援AI）を研究プレビューとして紹介しています。

この記事では、専門知識がなくても“まずこれだけ”で始められるように、脆弱性（セキュリティ上の弱点）を見つけて直すまでの流れを、手順とプロンプト例つきでまとめます。

Codex Securityって何ができるの？

OpenAI BlogによるとCodex Securityは、単発のコード断片だけでなくプロジェクト文脈（リポジトリ全体の構成や依存関係）を見ながら、脆弱性の「検出→妥当性確認→修正（パッチ）」まで支援することを狙ったツールです（研究プレビュー）。

• 検出：怪しい箇所を見つける（例：入力値チェック不足、認可ミス）
• 検証：本当に危険かを確かめる（再現手順やテスト案）
• 修正：直し方を提案し、差分（パッチ）まで出す
• ノイズを減らす：誤検知（本当は問題ないのに警告すること）を減らしたい方向性

ライトユーザー目線だと、これって要するに「コードレビューの“セキュリティ版”をAIに手伝ってもらう」イメージが近いです。

こんな人におすすめ

• 個人開発や小さなチームで、セキュリティレビューまで手が回らない人
• ChatGPTには聞いてるけど、「リポジトリ全体を踏まえた指摘」が欲しい人
• 脆弱性と言われてもピンとこないので、再現手順や直し方までセットで欲しい人
• PR（プルリクエスト）の前に、最低限の不安を潰したい人

料金は？無料で使える？（2026年3月時点の考え方）

Codex Securityはresearch preview（研究プレビュー）として紹介されていて、提供形態や料金は利用環境によって変わる可能性があります。まずは「自分の環境で使えるか」を確認するのが近道です。

• ChatGPT/開発者向けのCodex系機能として提供される場合：有料プランや組織契約が必要なことがあります
• API経由で使う場合：従量課金（使った分だけ課金）になることが多いです

ここは公式の案内が更新されやすいので、記事末尾の参考リンクから最新情報をチェックしてください。

今日からできる：AIに“安全なレビュー”を頼む手順

ポイントは「丸投げ」ではなく、AIが判断しやすい材料をこちらがテンプレで渡すことです。以下は、ChatGPTやCodex系エージェントにそのまま貼れる形で書きます（※実際の操作画面は環境により違います）。

手順1：まずは対象範囲を小さく決める

いきなり全リポジトリだと時間もコストも増えがちです。最初はこのどれかがおすすめです。

• 直近で触った機能（例：ログイン、決済、ファイルアップロード）
• 外部入力が絡むところ（フォーム、API、Webhook）
• 認証・認可（ログイン後の権限チェック）

手順2：AIに渡す情報を3点セットにする

• 目的：何を守りたいか（例：ユーザー情報、管理画面）
• 入口：どのURL/API/画面から入るか
• 関連ファイル：該当のソース（可能なら数ファイル）

ここまで揃うと、AIの指摘が一気に実用寄りになります。

手順3：脆弱性チェック用プロンプト（テンプレ）

まずは「何をどう調べて、どう報告してほしいか」を固定化しましょう。

あなたはアプリケーションセキュリティ担当です。
以下の情報を元に、脆弱性の可能性を調査してください。

# 目的
- 守りたいもの：ユーザーの個人情報、管理者権限

# 対象
- 機能：プロフィール更新API
- 入口：POST /api/profile/update

# コード
（ここに該当ファイルのコードを貼る）

# 出力してほしい内容
1) 重大度（高/中/低）と理由
2) 想定される攻撃シナリオ（手順を箇条書き）
3) 追加で確認すべき点（ログ、設定、別ファイルなど）
4) 修正方針（具体的な実装案）
5) 回帰テスト案（何をどうテストするか）

注意：推測で断定しないで、根拠をコード上の行動に紐づけて説明してください。

手順4：誤検知を減らす「検証フェーズ」を入れる

AIのセキュリティ指摘でありがちなのが、「それっぽいけど実は成立しない」問題。ここは再現できるかを必ず挟むと、実務で使える精度になります。

さっき挙げた脆弱性候補について、
「成立する条件」と「成立しない条件」を整理してください。

さらに、ローカル環境で確認できるように、
- 再現リクエスト例（curlやHTTP例）
- 期待されるレスポンス
- 成立しない場合に考えられる防御要素
を提示してください。

手順5：パッチ（差分）を出させるコツ

「修正案」だけだと実装時にブレます。可能なら差分形式で出してもらうのがおすすめです。

修正方針に基づいて、パッチを提案してください。

条件：
- 変更範囲は最小限
- 既存のコード規約に合わせる
- 例外処理とログも追加（必要なら）
- 可能ならテストコードも追加

出力形式：
- 変更点の要約
- diff形式（どのファイルのどこをどう変えるか）

ライトユーザーでも効く「安全に使う」3つの注意点

セキュリティ系AIは便利な反面、扱いを間違えると事故りやすいです。ここだけ押さえれば安心度が上がります。

• 機密情報を貼らない：APIキー、トークン、顧客データは必ずマスク（伏せ字）にする
• “成立確認”を必ずやる：AIの指摘＝確定ではないので、再現手順で確かめる
• 修正後のテストまでセット：直したつもりで別の穴を開けがちなので、回帰テスト（修正で壊れてないか確認するテスト）を書く

ちなみに最近はiOSの脆弱性が実際に悪用されていた、という報道も出ています。自分がモバイルアプリを作っていなくても、「脆弱性は“現実に起きる”」という温度感は知っておいて損はないです。

まとめ：まずは「1機能だけ」Codex的にレビューしてみよう

Codex Securityの方向性は、「セキュリティ専門家じゃなくても、プロジェクト文脈込みで“怪しい→確かめる→直す”を回せるようにする」こと。ライトユーザーほど、刺さる場面が多いと思います。

• 最初はログイン/プロフィール更新/アップロードなど入力が絡む機能を1つ選ぶ
• テンプレプロンプトで重大度・攻撃手順・修正・テストまで一気に出す
• 再現と回帰テストで、AIの提案を“使える成果物”にする

今日やるなら、まずはあなたのリポジトリで「一番触ってるAPI」を選んで、上のテンプレを貼ってみてください。思った以上に“抜け”が見えて、ちょっと楽しくなってきますよ。

参考リンク

• Codex Security: now in research preview（OpenAI Blog）
• Feds take notice of iOS vulnerabilities exploited under mysterious circumstances（Ars Technica）

Photo by Mohammad Rahmani on Unsplash