OpenAI Meluncurkan Codex Security untuk Mencari Kerentanan dalam Kode

OpenAI merilis Codex Security pada 6 Maret, sebuah agen keamanan aplikasi bertenaga AI yang memindai basis kode untuk mencari kerentanan, memvalidasi temuan di lingkungan tersandbox, dan mengusulkan perbaikan. Alat ini telah menemukan cacat di OpenSSH, Chromium, dan lima proyek open-source yang banyak digunakan lainnya, mendapatkan 14 penunjukan Common Vulnerabilities and Exposures (CVE).

Codex Security, yang sebelumnya dikenal sebagai Aardvark, menghabiskan sekitar satu tahun dalam beta privat sebelum naik tingkat menjadi pratinjau penelitian yang tersedia untuk pelanggan ChatGPT Pro, Enterprise, Business, dan Edu. OpenAI menawarkan akses gratis untuk bulan pertama.

Agen ini berbeda dari alat analisis statis konvensional dengan membangun model ancaman spesifik proyek sebelum memindai. Ia menganalisis arsitektur repositori untuk memahami apa yang dilakukan sistem, apa yang dipercayainya, dan di mana paparan tertinggi. Tim dapat mengedit model ancaman untuk menjaga temuan selaras dengan postur risiko mereka. Saat dikonfigurasi dengan lingkungan yang disesuaikan, Codex Security menguji tekanan kerentanan potensial langsung terhadap sistem yang berjalan, menghasilkan eksploit proof-of-concept untuk mengonfirmasi dampak dunia nyata.

Kinerja dalam Skala Besar

Selama 30 hari terakhir pengujian beta, Codex Security memindai lebih dari 1,2 juta komitmen di berbagai repositori eksternal, mengungkap 792 temuan kritis dan 10.561 masalah tingkat keparahan tinggi. Kerentanan kritis muncul di kurang dari 0,1% komitmen yang dipindai, menunjukkan sistem dapat memproses basis kode besar sambil menjaga kebisingan tetap dapat dikelola bagi peninjau.

OpenAI melaporkan bahwa presisi meningkat secara signifikan selama periode beta. Dalam satu kasus, kebisingan turun 84% antara peluncuran awal dan versi saat ini. Di semua repositori, tingkat positif palsu turun lebih dari 50%, dan temuan dengan tingkat keparahan yang terlalu dilaporkan menurun lebih dari 90%. Agen ini juga menggabungkan umpan balik: ketika pengguna menyesuaikan tingkat kritisitas suatu temuan, ia menyempurnakan model ancaman untuk pemindaian berikutnya.

Angka-angka itu menangani keluhan persisten dari tim keamanan yang mengevaluasi alat pengkodean AI. Analisis 2025 terhadap 80 tugas pengkodean di lebih dari 100 model bahasa besar menemukan bahwa kode yang dihasilkan AI memperkenalkan kerentanan keamanan dalam 45% kasus, membuat alat deteksi hilir semakin penting seiring dengan proliferasi kode yang ditulis AI.

Penemuan Kerentanan Open-Source

OpenAI telah menjalankan Codex Security terhadap repositori open-source yang diandalkannya, melaporkan temuan berdampak tinggi kepada pemelihara. Daftar yang diungkapkan termasuk OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP, dan Chromium. Dari 14 CVE yang ditetapkan, dua melibatkan pelaporan ganda dengan peneliti lain.

Dalam percakapan dengan para pemelihara, OpenAI mengatakan tantangan utamanya bukanlah kekurangan laporan kerentanan tetapi kelebihan laporan berkualitas rendah. Para pemelihara membutuhkan lebih sedikit positif palsu dan beban triase yang lebih ringan — umpan balik yang membentuk penekanan Codex Security pada temuan berkeyakinan tinggi daripada volume.

Perusahaan juga mengumumkan Codex for OSS, sebuah program yang menyediakan akun ChatGPT Pro dan Plus gratis, dukungan tinjauan kode, dan akses Codex Security kepada pemelihara open-source. Proyek vLLM telah menggunakan alat ini untuk menemukan dan memperbaiki masalah dalam alur kerja normalnya. OpenAI berencana untuk memperluas program dalam beberapa minggu mendatang.

Peluncuran ini memposisikan OpenAI sebagai peserta langsung dalam keamanan aplikasi, pasar di mana pemain mapan seperti Snyk, Semgrep, dan Veracode telah mengukuhkan pijakan. Google baru-baru ini menerbitkan arsitektur keamanan terperinci untuk fitur agen AI-nya sendiri di Chrome, menandakan bahwa persimpangan agen AI dan alat keamanan menarik perhatian dari berbagai arah.

Beberapa pertanyaan masih belum terjawab. OpenAI belum mengungkapkan harga setelah periode uji coba gratis, juga belum menentukan model frontier mana yang menggerakkan penalaran Codex Security. Alat ini saat ini beroperasi melalui Codex web daripada menawarkan integrasi tingkat API, yang berpotensi membatasi adopsi oleh tim dengan pipa otomasi keamanan yang sudah ada. Apakah Codex Security dapat mempertahankan peningkatan presisinya saat berkembang melampaui beta — dan apakah pemelihara open-source mengadopsi program dalam skala yang berarti — akan menentukan apakah agen ini menjadi fitur permanen dalam tumpukan pengembangan berbantuan AI atau tetap menjadi pratinjau penelitian.