OpenAI, 소프트웨어 취약점 수정을 돕는 'Codex Security' 출시

OpenAI는 최근 개발자들이 소프트웨어 취약점을 발견하고 수정할 수 있도록 돕는 새로운 도구인 'Codex Security'를 출시했다. 이 도구는 기존의 Codex 프로그래밍 어시스턴트에 새로 추가된 기능으로, 두 주 전에 Anthropic이 비슷한 제품을 내놓은 데 비해 눈길을 끈다. Codex Security는 코드 저장소를 스캔하여 문제를 찾아내고, 수정하는 방식을 제공한다.

이 도구는 개발자가 스캔하고자 하는 코드 저장소에 접근 권한을 부여하면 작동을 시작한다. Codex Security는 저장소의 임시 복제본을 격리된 컨테이너에 생성하고, 여기서 코드 파일을 분석한다. 이러한 분석 과정은 며칠이 소요될 수 있다.

분석 결과는 '위협 모델'이라는 문서로 제공되며, 프로그램의 작동 방식과 취약 가능성을 자연어로 상세히 설명한다. 위협 모델은 특히 사이버 공격에 취약한 사용자 인터페이스 요소에 대한 정보를 포함하고 있다. 또한 개발자는 필요에 따라 위협 모델을 맞춤 설정할 수 있으며, Codex Security는 이를 기반으로 취약점 스캔을 수행한다.

Codex Security는 발견된 취약점을 "샌드박스" 환경에서 더 테스트하여, 실제 해킹 가능한지 여부를 판단한다. 오탐지를 필터링하여, 취약점의 심각성에 따라 우선순위를 매긴다. 이러한 분석 과정에서 통과하지 못한 취약점에 대한 로그를 저장해, 개발자가 나중에 오탐된 취약점을 탐색할 수 있도록 돕는다.

각 취약점에 대해 Codex Security는 구체적인 수정 코드를 제안하며, 자연어로 된 설명도 함께 제공한다. 개발자는 제안된 수정을 검토하고, 클릭 한 번으로 해당 코드를 프로덕션에 반영할 수 있다.

Codex Security는 OpenAI 내부 도구인 Aardvark로 시작해, 자체 코드 파일을 분석하는 데 사용되었다. 지난해에는 제한된 고객들에게 베타 프로그램을 통해 제공되었으며, 이 과정을 통해 오탐율을 50% 이상 줄일 수 있었다. 이 도구는 초기에 사용한 고객들이 11,000건 이상의 중요한 취약점을 발견하는 데 도움을 줬다.

이 도구는 현재 ChatGPT의 엔터프라이즈, 비즈니스 및 교육 등급에서 연구 미리 보기 형태로 제공되고 있으며, 오픈 소스 프로젝트 유지 관리자에게는 무료로 제공되도록 프로그램이 운영되고 있다.