OpenAIのCodex Security、コミット120万件から深刻度の高い問題を10,561件発見

nosa

2026.03.09

OpenAIのCodex Security、コミット120万件から深刻度の高い欠陥を10,561件発見（CVE-2026-24881、CVE-2026-24882他）

The Hacker News – Mar 07, 2026

OpenAIが6日、脆弱性の発見・検証・修正提案を行う人工知能（AI）搭載セキュリティエージェント「Codex Security」の展開を開始した。この機能はChatGPT Pro、Enterprise、Business、EduのユーザーにCodex Web経由でリサーチプレビューとして提供され、1か月間の無料利用が可能となっている。

Codex Securityは脆弱性を大規模に検出・修正する目的で2025年10月にプライベートベータ版として発表された自律型AIエージェント「Aardvark」⁠の進化形とされ、ベータ期間中の直近30日間に外部リポジトリ全体で120万件以上のコミットをスキャンした結果、深刻度が「Critical」と評価されるセキュリティ上の問題を792件、同「High」の問題を10,561件発見したという。これには、以下のとおり、OpenSSHやGnuTLS、GOGS、Thorium、libssh、PHP、Chromiumなど、さまざまなオープンソースプロジェクトの脆弱性が含まれているようだ。

GnuPG：CVE-2026-24881、CVE-2026-24882
GnuTLS：CVE-2025-32988、CVE-2025-32989
GOGS：CVE-2025-64175、CVE-2026-25242
Thorium：CVE-2025-35430、CVE-2025-35431、CVE-2025-35432、CVE-2025-35433、CVE-2025-35434、CVE-2025-35435、CVE-2025-35436

OpenAIが同一リポジトリを継続的にスキャンしたところ、精度の向上と誤検知率の低下が実証され、誤検知率も全リポジトリで50％以上低下したと報告されている。

これに先立つ数週間前には、ソフトウェアコードベースの脆弱性をスキャンし、パッチを提案する「Claude Code Security」がAnthropicからリリースされていた。

米州法でOS年齢確認義務化の動きが広がる

The Register – Fri 6 Mar 2026

不適切なコンテンツから子どもを守るため、多くのWebサイトやソーシャルメディアサービス、その他のプラットフォームで年齢確認が義務付けられているが、米国では一部の州でオペレーションシステム（OS）自体に年齢確認を義務化する動きが広がっているという。

カリフォルニア州では法案1043号が2027年1月1日に発効される。昨年10月に承認された同法案では、ソフトウェアアプリの年齢確認に加え、アカウント設定時にアカウント所有者がそのデバイスのユーザーの生年月日と年齢、または両方を入力するためのアクセス可能なインターフェースを提供するようOSベンダーに義務付けている。

コロラド州の上院法案26-051号もよく似ており、OSベンダーにユーザーの年齢情報を収集・保存し、未成年の場合はアプリストアへ通知することを義務付ける上、開発者側もこれを確認しなければならない。違反があれば過失で2,500米ドル、故意の場合は7,500米ドルの罰金が科せられるようだ。

また、ニューヨーク州の上院法案S8102A号はさらに厳しく、インターネット対応デバイスのメーカーに全ユーザーの年齢確認を実施するだけでなく、その情報をすべてのWebサイト、オンラインサービス、オンラインアプリケーション、モバイルアプリケーションとアプリストアに提供することを義務付ける。

こうした義務化はマイクロソフトやAppleといった大手ではなく、フリー・オープンソースソフトウェア（FOSS）ベンダーの間で大きな懸念を引き起こしている模様。FreeBSDから派生したMidnightBSDはカリフォルニア州内での使用を禁止する条項をライセンスに追加し、DB48Xも来年には同州で、2028年にはコロラド州で使えなくなるという。

そのほか、Fedora ProjectやLinux Mintフォーラムでも議論が交わされているが、ユーザーアカウントやWebブラウザ、アプリストアがないFreeDOSは打つ手がほとんどなく、Canonicalも弁護士に調査を依頼しているとされている。一方、System76はCEOが関連法案について反対意見を述べ、規定が曖昧で範囲が広すぎること、子どもが簡単に回避できるため機能しないと主張したとされる。