오픈AI의 코덱스 시큐리티, 한 달간 고위험 취약점 1만 1,000건 발견

오픈AI는 이런 활동이 “코덱스 포 오픈소스(Codex for OSS)”라는 더 큰 프로젝트의 일부라고 설명했다. 해당 프로그램은 유지관리자에게 코덱스 도구와 보안 검토 지원을 무료로 제공한다. 오픈AI는 앞으로 몇 주 안에 프로그램을 확대해 더 많은 오픈소스 유지관리자를 생태계에 참여시킬 계획이다. 오픈AI는 코덱스 시큐리티가 발견한 13건의 고영향 오픈소스 취약점도 공개했다. 문제 유형에는 경로 탐색, 서비스 거부(DoS), 인증 우회 취약점이 포함됐다. ‘아드바크’ 실험에서 AI 보안 연구자로 발전 코덱스 시큐리티는 아드바크(Aardvark)라는 내부 프로젝트에서 발전했다. 아드바크는 오픈AI가 일부 사용자와 함께 테스트했던 AI 기반 취약점 연구 에이전트다. 해당 프로젝트의 핵심 개념은 AI가 코드를 읽고 가능한 공격 경로를 테스트하며 공격자가 시스템을 어떻게 침해할 수 있는지 추론하도록 만드는 것이었다. 이런 에이전트 기반 워크플로는 코덱스 시큐리티가 인간 보안 연구자의 작업 방식을 모방하도록 한다. AI는 저장소 이력을 분석하고 진입 지점과 신뢰 경계를 식별하는 위협 모델을 구축한 뒤 민감한 결과로 이어질 수 있는 공격 경로를 탐색한다. 잠재적 취약점이 발견되면 시스템은 샌드박스 환경에서 해당 문제를 재현해 실제 악용 가능성을 검증한다. 취약점이 확인되면 개발자가 검토하고 작업 흐름에 통합할 수 있도록 수정 지침을 생성하며 대부분 패치 형태로 제공된다. 코덱스 시큐리티는 시간이 지남에 따라 사용자 피드백을 학습해 탐지 정확도를 높일 수 있다. 오픈AI는 “취약점 중요도를 조정하면 해당 피드백을 위협 모델 개선에 활용해 이후 실행에서 정확도를 높일 수 있다”고 설명했다. 3월 9일부터 코덱스 시큐리티는 챗GPT 프로, 엔터프라이즈, 비즈니스, 에듀 고객을 대상으로 연구 프리뷰 형태로 제공되며 향후 30일 동안 무료 사용이 가능하다. [email protected]