OpenAI が Why Codex Security Doesn’t Include a SAST Report を解説 ── SASTを捨てAI推論で誤検知を削減
OpenAIがまた一つ、セキュリティの常識を覆しそうな気配を感じさせる今回のトピック。「Why Codex Security Doesn’t Include a SAST Report」は、なぜあえて業界標準のSASTを採用しなかったのか、その深淵なる理由に切り込んでいる。
▸何が変わったのか
Codex Securityは、従来の「SAST(静的アプリケーション・セキュリティテスト)」に依存しないアプローチへと切り替わった。その代わりに注力しているのが、AI駆動型の制約推論と検証の仕組みだ。これにより、開発者が実際に修正すべき「真の脆弱性」を見つけ出し、従来問題となっていた誤検知を減らすことを実現している。
◈前モデル / 競合との比較
従来のSASTはパターン検知に頼るため誤検知が多発しがちだが、Codex SecurityはAIによる「制約推論(constraint reasoning)」と「検証」を用いることで、実用的な脆弱特定と低い誤検知率を実現している点で異なる。
◈技術背景と意義
普通のSASTはコードのパターンマッチングばかりだから、大騒ぎしてみればただのコメントだったりして疲れるよね。でもOpenAIのこの手法は、AIがコードの制約条件を論理的に推論して検証するから、「ほんとにヤバい場所」だけをピンポイントで炙り出せる。機械的なルール頼りから、コードの意味を理解するAI頼りへのパラダイムシフトってことだ。
SOURCE: OpenAI (2026-03-16)
