OpenAI Запускает Codex Security Для Обнаружения Уязвимостей В Коде

OpenAI выпустила Codex Security 6 марта, агент безопасности, основанный на ИИ, который сканирует кодовые базы на наличие уязвимостей, проверяет результаты в изолированных средах и предлагает исправления. Инструмент уже обнаружил ошибки в OpenSSH, Chromium и еще пяти широко используемых открытых проектах, получив 14 обозначений уязвимостей и эксплуатаций (CVE).

Codex Security, ранее известный как Aardvark, провел примерно год в частной бета-версии, прежде чем перейти в режим исследовательского просмотра, доступного для клиентов ChatGPT Pro, Enterprise, Business и Edu. OpenAI предлагает бесплатный доступ в течение первого месяца.

Агент отличается от традиционных инструментов статического анализа тем, что создает проектно-специфическую модель угроз перед сканированием. Он анализирует архитектуру репозитория, чтобы понять, что делает система, что она доверяет и где наибольшая уязвимость. Команды могут редактировать модель угроз, чтобы поддерживать результаты в соответствии с их постурой риска. Когда агент настроен на индивидуальную среду, Codex Security тестирует потенциальные уязвимости непосредственно против работающей системы, генерируя концептуальные эксплуатации, чтобы подтвердить реальное воздействие.

Производительность в Масштабе

За последние 30 дней бета-тестирования Codex Security просканировал более 1,2 миллиона коммитов в внешних репозиториях, обнаружив 792 критических результатов и 10 561 проблем высокого уровня серьезности. Критические уязвимости были обнаружены менее чем в 0,1% просканированных коммитов, что говорит о том, что система может обрабатывать большие кодовые базы, сохраняя при этом управляемый уровень шума для рецензентов.

OpenAI сообщает, что точность значительно улучшилась во время бета-периода. В одном случае уровень шума снизился на 84% между первоначальным запуском и текущей версией. Во всех репозиториях уровень ложных положительных результатов снизился более чем на 50%, а результаты с переоцененной серьезностью снизились более чем на 90%. Агент также включает обратную связь: когда пользователи корректируют критичность результата, он уточняет модель угроз для последующих сканирований.

Эти цифры решают постоянную жалобу команд безопасности, оценивающих инструменты кодирования ИИ. Анализ 2025 года 80 задач кодирования на более чем 100 крупных языковых моделей показал, что код, сгенерированный ИИ, вводит уязвимости безопасности в 45% случаев, что делает инструменты обнаружения уязвимостей все более важными по мере распространения кода, написанного ИИ.

Обнаружение Уязвимостей в Открытом Исходном Коде

OpenAI запускает Codex Security против открытых репозиториев, от которых он зависит, сообщая о результатах с высоким воздействием их разработчикам. Раскрытый список включает OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP и Chromium. Из 14 назначенных CVE две включали двойное сообщение с другими исследователями.

В разговорах с разработчиками OpenAI сказал, что основной проблемой не было отсутствие сообщений об уязвимостях, а избыток сообщений низкого качества. Разработчикам нужны были меньше ложных положительных результатов и меньше бремени по триажу — обратная связь, которая сформировала акцент Codex Security на результатах с высоким уровнем доверия над объемом.

Компания также объявила о программе Codex для OSS, которая предоставляет бесплатные учетные записи ChatGPT Pro и Plus, поддержку кодового обзора и доступ к Codex Security для разработчиков открытого исходного кода. Проект vLLM уже использовал инструмент для обнаружения и исправления проблем в рамках своей обычной рабочей деятельности. OpenAI планирует расширить программу в ближайшие недели.

Запуск позиционирует OpenAI как прямого участника безопасности приложений, рынка, где такие компании, как Snyk, Semgrep и Veracode, уже заняли свои позиции. Google недавно опубликовала подробную архитектуру безопасности для своих собственных функций агентов ИИ в Chrome, что говорит о том, что пересечение агентов ИИ и инструментов безопасности привлекает внимание с нескольких сторон.

Остается несколько вопросов без ответа. OpenAI не раскрыла цену после бесплатного пробного периода, равно как и не указала, какой моделью границы питается Codex Security. Инструмент в настоящее время работает через Codex web, а не предлагая интеграцию на уровне API, что потенциально может ограничить его принятие командами с существующими автоматизированными пайплайнами безопасности. Будет ли Codex Security поддерживать улучшения точности при масштабировании за пределы бета-версии, и будут ли разработчики открытого исходного кода принимать программу в значительном масштабе, определит, станет ли агент постоянной составляющей стека разработки, помогающей ИИ, или останется в режиме исследовательского просмотра.