Codexセキュリティ対プロンプトインジェクション：OpenAIのエージェント型サイバー防御がチェスの対局に参入

Codex Security vs. Prompt Injection: OpenAI’s Agentic Cyber Defense Enters the Chess Match

OpenAIのCodex Securityが示す、AIエージェント時代のサイバー防御の新常識。最大の敵はプロンプトインジェクション——その対策の鍵は「多層防御」にある。

分からないところをタップすると
↓日本語訳が表示されます↓

In the age of AI agents, cyber defense is starting to look less like a wall and more like a chess match. OpenAI’s security project began as Aardvark, announced on October 30, 2025 as a GPT-5-powered “agentic security researcher,” and on March 6, 2026 it was renamed Codex Security and released in research preview through Codex web for ChatGPT Pro, Enterprise, Business, and Edu users. (openai.com)

What makes Codex Security interesting is that it does not simply produce a static bug report. OpenAI says it first builds a project-specific threat model, then searches for vulnerabilities, validates likely issues in sandboxed environments, and finally proposes patches that fit the system’s actual design. In other words, it tries to reason like a human security researcher, but at machine speed. During beta testing, OpenAI reports that the tool scanned more than 1.2 million commits in 30 days, found 792 critical issues and 10,561 high-severity ones, and reduced noise sharply—by 84% in one repeated scan setting. (openai.com)

But the rise of such agents creates a new battlefield: prompt injection. This happens when an AI reads third-party content—such as a webpage, issue ticket, or README file—that secretly contains instructions from an attacker. Instead of helping the user, the agent may be tricked into leaking data or taking unsafe actions. OpenAI’s own documentation gives a vivid example: a GitHub issue could include a command that quietly sends repository data to an attacker-controlled server. (openai.com)

OpenAI’s recent security writing suggests that prompt injection is no longer a simple “ignore previous instructions” trick. More advanced attacks increasingly use social-engineering tactics, and OpenAI argues that so-called AI firewalls alone usually cannot catch them reliably. The more realistic strategy is layered defense: assume the agent might be manipulated, then limit what it can do. (openai.com)

That is why Codex is designed with restrictions. By default, network access is disabled during the agent phase, work happens in a sandbox, and developers can require approval for dangerous actions or restrict internet access to trusted domains and methods only. The lesson is clear: in the AI-agent era, the smartest defender is not the one that trusts its model most, but the one that plans for deception from the start. (openai.com)

会員登録して
読んだ語数を記録する

AIエージェントの時代において、サイバー防御は壁のようなものではなく、チェスの対局のようなものになりつつある。OpenAIのセキュリティプロジェクトはAardvarkとして始まり、2025年10月30日にGPT-5を搭載した「エージェント型セキュリティ研究者（agentic security researcher）」として発表された。その後、2026年3月6日にCodex Securityと改名され、ChatGPT Pro、Enterprise、Business、Eduユーザー向けにCodex webを通じてリサーチプレビューとして公開された。(openai.com)

Codex Securityが興味深いのは、単に静的なバグレポートを生成するだけではない点である。OpenAIによると、このツールはまずプロジェクト固有の脅威モデル（threat model）を構築し、次に脆弱性を検索し、サンドボックス環境で疑わしい問題を検証し、最後にシステムの実際の設計に合ったパッチを提案する。言い換えれば、人間のセキュリティ研究者のように推論しようとするが、そのスピードは機械並みである。ベータテスト期間中、OpenAIの報告によると、このツールは30日間で120万件以上のコミットをスキャンし、792件の重大（critical）な問題と10,561件の高深刻度（high-severity）の問題を発見し、ノイズを大幅に削減した——ある繰り返しスキャン設定では84%の削減を達成した。(openai.com)

しかし、こうしたエージェントの台頭は新たな戦場を生み出す。それがプロンプトインジェクション（prompt injection）である。これは、AIがウェブページ、イシューチケット、READMEファイルなどのサードパーティコンテンツを読み込んだ際に、そこに攻撃者からの命令が密かに含まれている場合に発生する。ユーザーを助ける代わりに、エージェントはだまされてデータを漏洩したり、安全でない操作を実行したりする可能性がある。OpenAI自身のドキュメントでは具体的な例が示されている。GitHubのイシューに、リポジトリのデータを攻撃者が管理するサーバーへ密かに送信するコマンドが含まれている可能性があるというものだ。(openai.com)

OpenAIの最近のセキュリティに関する文書は、プロンプトインジェクションがもはや単純な「前の指示を無視せよ（ignore previous instructions）」というトリックではなくなっていることを示唆している。より高度な攻撃はソーシャルエンジニアリングの手法を用いるケースが増えており、OpenAIは、いわゆるAIファイアウォール（AI firewalls）だけではそれらを確実に検知することは通常できないと主張している。より現実的な戦略は多層防御（layered defense）である。エージェントが操作される可能性があると想定した上で、エージェントにできることを制限するのだ。(openai.com)

これが、Codexが制限付きで設計されている理由である。デフォルトでは、エージェントフェーズ中のネットワークアクセスは無効化され、作業はサンドボックス内で行われ、開発者は危険な操作に対して承認を要求したり、インターネットアクセスを信頼済みのドメインやメソッドのみに制限したりすることができる。教訓は明確である。AIエージェント時代において、最も賢い防御者とは、自らのモデルを最も信頼する者ではなく、最初から欺瞞に備えて計画を立てる者なのだ。(openai.com)

by EigoBoxAI
作成:2026/03/23 09:03
レベル:上級 (語彙目安:6000〜8000語)

# Codexセキュリティ対プロンプトインジェクション：OpenAIのエージェント型サイバー防御がチェスの対局に参入
## Codex Security vs. Prompt Injection: OpenAI’s Agentic Cyber Defense Enters the Chess Match

![thumbnail](https://eigobox.s3.ap-northeast-1.amazonaws.com/g/e33920465b6e474ff61acb2cd4b051692e2c1b8f.png)

---

[["In the age of AI agents,","AIエージェントの時代において、"],["cyber defense","サイバー防御は"],["is starting to look","見え始めている"],["less like a wall","壁というよりも"],["and more like a chess match.","チェスの対局のように。"],["OpenAI’s security project began as Aardvark,","OpenAIのセキュリティプロジェクトはAardvarkとして始まり、"],["announced on October 30, 2025","2025年10月30日に発表され、"],["as a GPT-5-powered","GPT-5を搭載した"],["“agentic security researcher,”","「エージェント型セキュリティ研究者」として、"],["and on March 6, 2026 it was renamed Codex Security","そして2026年3月6日にCodex Securityへ改名され、"],["and released in research preview","リサーチプレビューとして公開された"],["through Codex web","Codex web経由で"],["for ChatGPT Pro, Enterprise, Business, and Edu users.","ChatGPT Pro、Enterprise、Business、Eduユーザー向けに。"],["([openai.com](https://openai.com/index/introducing-aardvark/))","（[openai.com](https://openai.com/index/introducing-aardvark/)）"],["What makes Codex Security interesting","Codex Securityが興味深い点は"],["is that it does not simply produce","それが単に生成するのではないということだ"],["a static bug report.","静的なバグレポートを。"],["OpenAI says","OpenAIによると"],["it first builds","まず"],["a project-specific threat model,","プロジェクト固有の脅威モデルを構築し、】【then searches for vulnerabilities,","次に脆弱性を検索し、"],["validates likely issues","可能性の高い問題を検証する"],["in sandboxed environments,","サンドボックス環境で、"],["and finally proposes patches","そして最終的にパッチを提案する"],["that fit the system’s actual design.","システムの実際の設計に合った。"],["In other words,","言い換えれば、"],["it tries to reason","推論しようとする"],["like a human security researcher,","人間のセキュリティ研究者のように、"],["but at machine speed.","ただし機械の速度で。"],["During beta testing,","ベータテスト中に、"],["OpenAI reports that","OpenAIの報告によると"],["the tool scanned","このツールは"],["more than 1.2 million commits","120万以上のコミットをスキャンし"],["in 30 days,","30日間で、"],["found 792 critical issues","792件の重大な問題と"],["and 10,561 high-severity ones,","10,561件の高深刻度の問題を発見し、"],["and reduced noise sharply—","ノイズを大幅に削減した——"],["by 84%","84%"],["in one repeated scan setting.","ある反復スキャン設定において。"],["([openai.com](https://openai.com/index/codex-security-now-in-research-preview/))","（[openai.com](https://openai.com/index/codex-security-now-in-research-preview/)）"],["But the rise of such agents","しかしこうしたエージェントの台頭は"],["creates a new battlefield:","新たな戦場を生み出す："],["prompt injection.","プロンプトインジェクションだ。"],["This happens when an AI","これはAIが"],["reads third-party content—","サードパーティのコンテンツを読み取る際に起こる——"],["such as a webpage,","ウェブページや"],["issue ticket, or README file—","イシューチケット、READMEファイルなど——"],["that secretly contains","それが密かに含んでいる"],["instructions from an attacker.","攻撃者からの指示を。"],["Instead of helping the user,","ユーザーを助ける代わりに、"],["the agent may be tricked","エージェントは騙されて"],["into leaking data","データを漏洩させたり"],["or taking unsafe actions.","危険な行動を取らされる可能性がある。"],["OpenAI’s own documentation gives a vivid example:","OpenAI自身のドキュメントは鮮明な例を示している："],["a GitHub issue could include","GitHubのイシューに含まれ得る"],["a command that quietly sends","密かに送信するコマンドが"],["repository data","リポジトリデータを"],["to an attacker-controlled server.","攻撃者が管理するサーバーに。"],["([openai.com](https://openai.com/index/prompt-injections?utm_source=openai))","（[openai.com](https://openai.com/index/prompt-injections?utm_source=openai)）"],["OpenAI’s recent security writing suggests that prompt injection","OpenAIの最近のセキュリティ文書は、プロンプトインジェクションが"],["is no longer","もはや"],["a simple","単純な"],["“ignore previous instructions” trick.","「前の指示を無視せよ」という手口ではないと示唆している。"],["More advanced attacks","より高度な攻撃は"],["increasingly use","ますます利用している"],["social-engineering tactics,","ソーシャルエンジニアリングの手法を、"],["and OpenAI argues that","そしてOpenAIは主張する"],["so-called AI firewalls alone","いわゆるAIファイアウォールだけでは"],["usually cannot catch them reliably.","通常それらを確実に検知できないと。"],["The more realistic strategy","より現実的な戦略は"],["is layered defense:","多層防御である："],["assume the agent might be manipulated,","エージェントが操作される可能性があると想定し、"],["then limit what it can do.","その行動範囲を制限することだ。"],["([openai.com](https://openai.com/index/designing-agents-to-resist-prompt-injection/))","（[openai.com](https://openai.com/index/designing-agents-to-resist-prompt-injection/)）"],["That is why","そのため"],["Codex is designed","Codexは設計されている"],["with restrictions.","制限付きで。"],["By default,","デフォルトでは、"],["network access is disabled","ネットワークアクセスは無効化され"],["during the agent phase,","エージェントフェーズ中は、"],["work happens in a sandbox,","作業はサンドボックス内で行われ、"],["and developers can","開発者は"],["require approval","承認を要求したり"],["for dangerous actions","危険な操作に対して"],["or restrict internet access","インターネットアクセスを制限できる"],["to trusted domains","信頼されたドメインと"],["and methods only.","メソッドのみに。"],["The lesson is clear:","教訓は明確だ："],["in the AI-agent era,","AIエージェント時代において、"],["the smartest defender","最も賢い防御者とは"],["is not the one that trusts its model most,","自分のモデルを最も信頼する者ではなく、"],["but the one that plans for deception from the start.","最初から欺瞞に備えて計画する者である。"],["([openai.com](https://openai.com/index/introducing-upgrades-to-codex/))","（[openai.com](https://openai.com/index/introducing-upgrades-to-codex/)）"]]