CybersÀkerhet

OpenAI lanserar Codex Security för att hitta sÄrbarheter i kod

mm
Publicerad
Uppdaterad

OpenAI släppte Codex Security den 6 mars, ett AI-drivet applikationssäkerhetsagent som skannar kodbas för sårbarheter, validerar resultat i sandlådemiljöer och föreslår lappar. Verktyget har redan avslöjat brister i OpenSSH, Chromium och fem andra allmänt använda öppen källkodsprojekt, och har fått 14 Common Vulnerabilities and Exposures (CVE) beteckningar.

Codex Security, tidigare känd som Aardvark, tillbringade ungefär ett år i privat beta innan den gick vidare till en forskningsförhandsvisning som är tillgänglig för ChatGPT Pro, Enterprise, Business och Edu-kunder. OpenAI erbjuder kompletterande tillgång under den första månaden.

Agenten skiljer sig från konventionella statiska analysverktyg genom att bygga en projektspecifik hotmodell innan den skannar. Den analyserar ett repositories arkitektur för att förstå vad systemet gör, vad det litar på och var exponeringen är som störst. Team kan redigera hotmodellen för att hålla resultaten i linje med deras riskpostur. När den konfigureras med en anpassad miljö, testar Codex Security potentiella sårbarheter direkt mot det körende systemet, genererar bevis för konceptuella exploateringar för att bekräfta verkliga konsekvenser.

Prestanda i stor skala

Under de senaste 30 dagarna av betatestning har Codex Security skannat mer än 1,2 miljoner commits över externa repositories, och har funnit 792 kritiska resultat och 10 561 allvarliga problem. Kritiska sårbarheter förekom i färre än 0,1 % av de skannade committen, vilket tyder på att systemet kan bearbeta stora kodbas medan buller hålls hanterbart för granskare.

OpenAI rapporterar att precisionen förbättrades avsevärt under betaperioden. I ett fall minskade buller med 84 % mellan den första utrullningen och den nuvarande versionen. Över alla repositories minskade de falska positiva resultaten med mer än 50 %, och resultaten med överrapporterad allvarlighetsgrad minskade med över 90 %. Agenten inkorporerar också feedback: när användare justerar en resultats allvarlighetsgrad, förfinar den hotmodellen för efterföljande skanningar.

Dessa siffror besvarar en varaktig klagomål från säkerhetsteam som utvärderar AI-kodgenereringsverktyg. En analys från 2025 av 80 koduppgifter över mer än 100 stora språkmodeller fann att AI-genererad kod introducerar sårbarheter i 45 % av fallen, vilket gör att nedströmsdetekteringsverktyg blir allt viktigare när AI-skriven kod blir vanligare.

Öppen källkods sårbarhetsupptäckter

OpenAI har kört Codex Security mot de öppna källkodsrepositories som de är beroende av, och har rapporterat högimpaktresultat till underhållare. Den offentliggjorda listan innehåller OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP och Chromium. Av de 14 tilldelade CVE var två inblandade i dubbel rapportering med andra forskare.

I samtal med underhållare sa OpenAI att den primära utmaningen inte var en brist på sårbarhetsrapporter, utan en överskott av rapporter av låg kvalitet. Underhållare behövde färre falska positiva resultat och mindre triagebörda — feedback som formade Codex Securitys betoning på högkvalitativa resultat över volym.

Företaget meddelade också Codex för OSS, ett program som tillhandahåller gratis ChatGPT Pro och Plus-konton, kodgranskningsstöd och Codex Security-åtkomst till öppen källkodsunderhållare. vLLM-projektet har redan använt verktyget för att hitta och lappa problem inom sin normala arbetsflöde. OpenAI planerar att utöka programmet under de kommande veckorna.

Lanseringen positionerar OpenAI som en direkt deltagare i applikationssäkerhet, en marknad där etablerade företag som Snyk, Semgrep och Veracode har etablerat fotfäste. Google publicerade nyligen en detaljerad säkerhetsarkitektur för sina egna AI-agentfunktioner i Chrome, vilket signalerar att korsningen mellan AI-agenter och säkerhetsverktyg får uppmärksamhet från flera håll.

Flera frågor förblir obesvarade. OpenAI har inte avslöjat prissättning efter den kostnadsfria testperioden, och har inte specificerat vilken gränsmodell som driver Codex Securitys resonemang. Verktyget fungerar för närvarande via Codex-webb och inte via API-nivåintegration, vilket potentiellt kan begränsa antagandet av team med befintliga säkerhetsautomatiseringspipeliner. Om Codex Security kan upprätthålla sina precisionsförbättringar när den växer utöver beta — och om öppen källkodsunderhållare antar programmet i meningsfull skala — kommer att avgöra om agenten blir en varaktig del av AI-assisterad utvecklingsstack eller förblir en forskningsförhandsvisning.

mm

Alex McFarland Àr en AI-journalist och författare som utforskar de senaste utvecklingarna inom artificiell intelligens. Han har samarbetat med mÄnga AI-startups och publikationer över hela vÀrlden.