Connect with us

Ciberseguridad

OpenAI Lanza Codex Security Para Encontrar Vulnerabilidades en Código

mm
Published
Updated

OpenAI lanzó Codex Security el 6 de marzo, un agente de seguridad de aplicaciones impulsado por inteligencia artificial que escanea las bases de código en busca de vulnerabilidades, valida los hallazgos en entornos aislados y propone parches. La herramienta ya ha descubierto fallos en OpenSSH, Chromium y otros cinco proyectos de código abierto ampliamente utilizados, lo que le valió 14 designaciones de Vulnerabilidades y Exposiciones Comunes (CVE).

Codex Security, anteriormente conocido como Aardvark, pasó aproximadamente un año en beta privada antes de graduarse a una vista previa de investigación disponible para clientes de ChatGPT Pro, Enterprise, Business y Edu. OpenAI ofrece acceso gratuito durante el primer mes.

El agente difiere de las herramientas de análisis estático convencionales al construir un modelo de amenaza específico del proyecto antes de escanear. Analiza la arquitectura de un repositorio para entender qué hace el sistema, qué confía y dónde está la exposición más alta. Los equipos pueden editar el modelo de amenaza para mantener los hallazgos alineados con su postura de riesgo. Cuando se configura con un entorno personalizado, Codex Security prueba las vulnerabilidades potenciales directamente contra el sistema en ejecución, generando exploits de concepto para confirmar el impacto en el mundo real.

Rendimiento a Escala

Durante los últimos 30 días de pruebas beta, Codex Security escaneó más de 1,2 millones de confirmaciones en repositorios externos, lo que dio como resultado 792 hallazgos críticos y 10.561 problemas de gravedad alta. Las vulnerabilidades críticas aparecieron en menos del 0,1% de las confirmaciones escaneadas, lo que sugiere que el sistema puede procesar grandes bases de código mientras mantiene el ruido manejable para los revisores.

OpenAI informa que la precisión mejoró sustancialmente durante el período beta. En un caso, el ruido disminuyó un 84% entre la versión inicial y la versión actual. En todos los repositorios, las tasas de falsos positivos disminuyeron más del 50%, y los hallazgos con gravedad sobreinformada disminuyeron más del 90%. El agente también incorpora comentarios: cuando los usuarios ajustan la criticidad de un hallazgo, refina el modelo de amenaza para escaneos posteriores.

Esos números abordan una queja persistente de los equipos de seguridad que evalúan herramientas de codificación de IA. Un análisis de 2025 de 80 tareas de codificación en más de 100 grandes modelos de lenguaje encontró que el código generado por IA introduce vulnerabilidades de seguridad en el 45% de los casos, lo que hace que las herramientas de detección posteriores sean cada vez más importantes a medida que prolifera el código escrito por IA.

Descubrimientos de Vulnerabilidades de Código Abierto

OpenAI ha estado ejecutando Codex Security contra los repositorios de código abierto de los que depende, informando hallazgos de alto impacto a los mantenedores. La lista divulgada incluye OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP y Chromium. De las 14 CVE asignadas, dos involucraron informes dobles con otros investigadores.

En conversaciones con los mantenedores, OpenAI dijo que el desafío principal no fue la falta de informes de vulnerabilidades, sino un exceso de informes de baja calidad. Los mantenedores necesitaban menos falsos positivos y menos carga de triaje: comentarios que dieron forma al énfasis de Codex Security en hallazgos de alta confianza sobre volumen.

La empresa también anunció Codex para OSS, un programa que proporciona cuentas gratuitas de ChatGPT Pro y Plus, soporte de revisión de código y acceso a Codex Security a los mantenedores de código abierto. El proyecto vLLM ya ha utilizado la herramienta para encontrar y parchear problemas dentro de su flujo de trabajo normal. OpenAI planea ampliar el programa en las próximas semanas.

El lanzamiento posiciona a OpenAI como un participante directo en la seguridad de aplicaciones, un mercado donde los incumbentes como Snyk, Semgrep y Veracode han establecido una base. Google publicó recientemente una arquitectura de seguridad detallada para sus propias características de agentes de IA en Chrome, lo que indica que la intersección de los agentes de IA y las herramientas de seguridad está atrayendo la atención desde múltiples direcciones.

Quedan varias preguntas sin respuesta. OpenAI no ha divulgado los precios después del período de prueba gratuita, ni ha especificado qué modelo de frontera impulsa el razonamiento de Codex Security. La herramienta actualmente opera a través de Codex web en lugar de ofrecer integración a nivel de API, lo que podría limitar su adopción por parte de los equipos con pipelines de automatización de seguridad existentes. Si Codex Security puede mantener sus mejoras de precisión a medida que se amplía más allá de la beta, y si los mantenedores de código abierto adoptan el programa a una escala significativa, determinará si el agente se convierte en un elemento duradero en la pila de desarrollo asistida por IA o permanece en una vista previa de investigación.

Related Topics:
mm

Alex McFarland es un periodista y escritor de inteligencia artificial que explora los últimos desarrollos en inteligencia artificial. Ha colaborado con numerosas startups y publicaciones de inteligencia artificial en todo el mundo.