詳細を読む
2026年2月20日にAnthropicがClaude Code Securityを、3月6日にOpenAIがCodex Securityを相次いでリリースし、LLM推論を活用した脆弱性スキャナーが企業向けに無償提供された。
AnthropicはClaude Opus 4.6を用い、数十年間の専門家レビューと数百万時間のファジングを経た本番OSコードベースで500件超の高深刻度ゼロデイ脆弱性を発見しました。従来のカバレッジ誘導型ファジングでは検出不能だったLZW圧縮アルゴリズムのヒープバッファオーバーフローも特定しています。
OpenAIのCodex SecurityはGPT-5搭載の社内ツール「Aardvark」から発展し、ベータ期間中に120万件超のコミットをスキャン。OpenSSH・GnuTLS・Chromiumなど著名OSSで792件の致命的問題と1万561件の高深刻度問題を検出し、14件のCVEが新規付番されました。
Checkmarx Zeroの検証では、Claude Code Securityが8件中2件しか真陽性を返せない事例も確認されており、LLMスキャナーの精度限界と第三者監査の必要性が指摘されています。Enkrypt AI CSO Merritt Baer氏は「OSSの脆弱性発見はゼロデイ級として扱うべきで、CVSSスコアだけでトリアージすべきではない」と警告しました。
企業セキュリティ担当者には7つのアクションが推奨されています。代表リポジトリで両ツールを同時実行して既存SATSとの差分(盲点)を把握すること、ガバナンスフレームワークをパイロット前に整備すること、ソフトウェア構成分析・コンテナスキャン・DASTなど両ツールがカバーしない領域を明確にすること、そして30日間のパイロットで取得した実証データを調達判断の根拠とすることが特に重要です。