OpenAI начала развёртывание нового инструмента безопасности под названием Codex Security. Это AI-агент, который анализирует исходный код, выявляет уязвимости и предлагает исправления. В ходе тестирования система уже проанализировала более 1,2 млн коммитов и обнаружила тысячи критических проблем безопасности в популярных проектах с открытым исходным кодом.
Инструмент позиционируется как следующий этап развития автоматизированной безопасности разработки и ориентирован на команды DevSecOps, которым нужно быстрее находить и устранять ошибки в коде.
Что такое Codex Security
Codex Security - это интеллектуальный агент для анализа безопасности программного обеспечения. Он использует возможности современных языковых моделей, чтобы находить уязвимости, проверять их и предлагать исправления.
Новая функция доступна в режиме исследовательского превью для пользователей тарифов ChatGPT Pro, Enterprise, Business и Edu. В течение первого месяца её можно использовать бесплатно через веб-интерфейс Codex.
Главная задача инструмента уменьшить количество ложных срабатываний и сосредоточить внимание разработчиков на действительно опасных проблемах. Для этого система анализирует проект целиком и строит контекст, позволяющий лучше понимать архитектуру приложения.
Более миллиона проверенных коммитов
Во время бета-тестирования Codex Security обработал более 1,2 миллиона коммитов в публичных репозиториях. В результате система обнаружила:
792 критические уязвимости
10 561 уязвимость высокой степени серьёзности
Ошибки безопасности были найдены в ряде популярных open-source проектов, включая:
OpenSSH
GnuTLS
GnuPG
GOGS
Thorium
libssh
PHP
Chromium
Некоторые обнаруженные проблемы уже получили идентификаторы CVE, например уязвимости в GnuPG и GnuTLS.
Как работает система
Работа Codex Security строится из трёх основных этапов.
1. Построение модели угроз
Сначала агент анализирует репозиторий и формирует представление о структуре проекта: какие компоненты существуют, как они взаимодействуют и где находятся потенциально уязвимые места.
На основе этого создаётся редактируемая модель угроз, своего рода карта безопасности приложения.
2. Поиск и проверка уязвимостей
Далее система использует построенный контекст, чтобы обнаруживать потенциальные проблемы безопасности и оценивать их реальное влияние на систему.
Каждое найденное подозрение дополнительно проверяется в изолированной среде. Такой подход позволяет снизить количество ложных тревог.
Если агент работает в окружении, максимально похожем на реальную инфраструктуру проекта, он может проверять уязвимости прямо в контексте работающего приложения.
3. Предложение исправлений
На финальном этапе Codex Security предлагает патчи, которые устраняют найденные проблемы и при этом минимально влияют на поведение системы.
Это упрощает проверку изменений и снижает риск регрессий после обновлений.
Эволюция проекта Aardvark
Codex Security стал развитием системы Aardvark, внутреннего инструмента OpenAI для масштабного поиска уязвимостей, который появился в закрытом бета-тестировании в октябре 2025 года.
За время разработки точность обнаружения уязвимостей заметно выросла. По данным компании, количество ложных срабатываний в анализируемых репозиториях сократилось более чем на 50%.
Новая гонка AI-инструментов безопасности
Запуск Codex Security происходит на фоне активной конкуренции в сфере AI-инструментов для безопасной разработки.
Например, недавно компания Anthropic представила систему Claude Code Security, которая также умеет сканировать кодовые базы и предлагать исправления уязвимостей.
Появление подобных решений показывает, что искусственный интеллект начинает играть всё более заметную роль не только в написании кода, но и в обеспечении его безопасности.
Источник: HN