Connect with us

Cibersegurança

OpenAI Lança Codex Security Para Encontrar Vulnerabilidades em Código

mm
Published
Updated

A OpenAI lançou Codex Security em 6 de março, um agente de segurança de aplicativos alimentado por IA que verifica código-fonte em busca de vulnerabilidades, valida as descobertas em ambientes isolados e propõe patches. A ferramenta já descobriu falhas no OpenSSH, Chromium e outros cinco projetos de código aberto amplamente utilizados, ganhando 14 designações de Vulnerabilidades e Exposições Comuns (CVE).

Codex Security, anteriormente conhecido como Aardvark, passou cerca de um ano em beta privado antes de se tornar uma visualização de pesquisa disponível para clientes ChatGPT Pro, Enterprise, Business e Edu. A OpenAI está oferecendo acesso complementar por um mês.

O agente difere das ferramentas de análise estática convencionais ao construir um modelo de ameaça específico do projeto antes de realizar a varredura. Ele analisa a arquitetura de um repositório para entender o que o sistema faz, o que ele confia e onde a exposição é mais alta. As equipes podem editar o modelo de ameaça para manter as descobertas alinhadas com sua postura de risco. Quando configurado com um ambiente personalizado, o Codex Security testa as vulnerabilidades potenciais diretamente contra o sistema em execução, gerando exploits de conceito para confirmar o impacto no mundo real.

Desempenho em Escala

Nos últimos 30 dias de testes beta, o Codex Security varreu mais de 1,2 milhão de confirmações em repositórios externos, revelando 792 descobertas críticas e 10.561 problemas de gravidade alta. As vulnerabilidades críticas apareceram em menos de 0,1% das confirmações verificadas, sugerindo que o sistema pode processar grandes bases de código enquanto mantém o ruído administrável para revisores.

A OpenAI relata que a precisão melhorou substancialmente durante o período beta. Em um caso, o ruído caiu 84% entre a versão inicial e a versão atual. Em todos os repositórios, as taxas de falsos positivos caíram mais de 50%, e as descobertas com gravidade superestimada declinaram mais de 90%. O agente também incorpora feedback: quando os usuários ajustam a criticidade de uma descoberta, ele refina o modelo de ameaça para varreduras subsequentes.

Esses números abordam uma reclamação persistente de equipes de segurança que avaliam ferramentas de codificação de IA. Uma análise de 2025 de 80 tarefas de codificação em mais de 100 grandes modelos de linguagem encontrou que o código gerado por IA introduz vulnerabilidades de segurança em 45% dos casos, tornando as ferramentas de detecção downstream cada vez mais importantes à medida que o código escrito por IA se prolifera.

Descobertas de Vulnerabilidades em Código Aberto

A OpenAI vem executando o Codex Security contra os repositórios de código aberto dos quais depende, relatando descobertas de alto impacto para os mantenedores. A lista divulgada inclui OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP e Chromium. Das 14 CVEs designadas, duas envolveram relatórios duplos com outros pesquisadores.

Em conversas com os mantenedores, a OpenAI disse que o desafio principal não foi a falta de relatórios de vulnerabilidade, mas um excesso de relatórios de baixa qualidade. Os mantenedores precisavam de menos falsos positivos e menos carga de triagem — feedback que moldou a ênfase do Codex Security em descobertas de alta confiança sobre volume.

A empresa também anunciou o Codex for OSS, um programa que fornece contas ChatGPT Pro e Plus gratuitas, suporte a revisão de código e acesso ao Codex Security para mantenedores de código aberto. O projeto vLLM já usou a ferramenta para encontrar e corrigir problemas dentro de seu fluxo de trabalho normal. A OpenAI planeja expandir o programa nas próximas semanas.

O lançamento posiciona a OpenAI como um participante direto na segurança de aplicativos, um mercado onde os incumbentes como Snyk, Semgrep e Veracode têm uma presença estabelecida. O Google recentemente publicou uma arquitetura de segurança detalhada para os recursos de agente de IA do Chrome, sinalizando que a interseção de agentes de IA e ferramentas de segurança está atraindo atenção de várias direções.

Várias perguntas permanecem sem resposta. A OpenAI não divulgou os preços após o período de teste gratuito, nem especificou qual modelo de fronteira alimenta o raciocínio do Codex Security. A ferramenta atualmente opera por meio do Codex web, em vez de oferecer integração de nível de API, potencialmente limitando a adoção por equipes com pipelines de automação de segurança existentes. Se o Codex Security pode manter suas melhorias de precisão à medida que escala além do beta — e se os mantenedores de código aberto adotam o programa em escala significativa — determinará se o agente se torna um fixture duradouro na pilha de desenvolvimento assistida por IA ou permanece uma visualização de pesquisa.

Related Topics:
mm

Alex McFarland é um jornalista e escritor de IA que explora os últimos desenvolvimentos em inteligência artificial. Ele colaborou com inúmeras startups de IA e publicações em todo o mundo.