Claude Code と Codex のレビュー機能は脆弱性をどれだけ見つけられるかをOWASP Benchmark で検証

hatenablog · 2026-06-29

この記事で分かること

Claude CodeとCodexのレビュー機能が、OWASP Benchmarkを用いて脆弱性をどの程度検出できるか検証されている。この検証結果を読めば、両ツールの脆弱性発見率の違いや、どの種類の脆弱性に強いかという比較軸が得られる。セキュリティレビューにAIを導入する際のツール選定の判断材料として使える。

詳細要約

OWASP Benchmarkを用いた検証では、Claude CodeとCodexのレビュー機能は既知の脆弱性のうち約半数程度しか検出できず、単独でのセキュリティ担保は不十分である。実際に使う際は、両ツールともSQLインジェクションやXSSなどの一般的な脆弱性はある程度拾うが、認証バイパスやロジック欠陥など文脈依存の脆弱性は見落としやすい点を認識しておく必要がある。また、検出精度はコードのコメントや関数名の明確さに影響されるため、レビュー前にコードを適切に構造化しておくことが効果を高める。

関連ニュース