OpenAI wprowadza Codex Security, nowego agenta zabezpieczeń zasilanego sztuczną inteligencją

W piątek OpenAI rozpoczęło wprowadzanie Codex Security, nowego zachwycającego agenta zabezpieczeń, który wykorzystuje sztuczną inteligencję do wykrywania, walidacji i proponowania poprawek dla luk w zabezpieczeniach.

Funkcja jest dostępna w wersji badawczej dla użytkowników ChatGPT Pro, Enterprise, Business i Edu poprzez stronę internetową Codex, oferując bezpłatne korzystanie przez następny miesiąc.

„Tworzy głęboki kontekst dotyczący Twojego projektu, aby identyfikować złożone luki, które umykają innym narzędziom, generując bardziej wiarygodne wyniki z poprawkami, które w znaczący sposób poprawiają bezpieczeństwo systemu, oszczędzając jednocześnie od hałasu związane z nieistotnymi błędami,” powiedziała firma.

Codex Security to ewolucja Aardvarka, które OpenAI zaprezentowało w prywatnej becie w październiku 2025 roku jako rozwiązanie do wykrywania i naprawy luk w zabezpieczeniach na dużą skalę.

W ciągu ostatnich 30 dni Codex Security przeszukał ponad 1,2 miliona commitów w zewnętrznych repozytoriach, identyfikując 792 krytyczne odkrycia oraz 10 561 wskazania o wysokim stopniu zagrożenia. Do najważniejszych zidentyfikowanych luk należą te występujące w różnych projektach open-source takich jak OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP oraz Chromium. Oto niektóre z nich:

• GnuPG – CVE-2026-24881, CVE-2026-24882
• GnuTLS – CVE-2025-32988, CVE-2025-32989
• GOGS – CVE-2025-64175, CVE-2026-25242
• Thorium – CVE-2025-35430, CVE-2025-35431, CVE-2025-35432, CVE-2025-35433, CVE-2025-35434, CVE-2025-35435, CVE-2025-35436

Według firmy AI, najnowsza wersja agenta bezpieczeństwa aplikacji wykorzystuje możliwości rozumowania swoich modeli i łączy je z automatyczną walidacją, aby zminimalizować ryzyko fałszywych pozytywów oraz dostarczyć działania naprawcze.

Skanowania OpenAI na tych samych repozytoriach w czasie wykazały rosnącą precyzję i spadające wskaźniki fałszywych pozytywów, przy czym te ostatnie zmniejszyły się o ponad 50% we wszystkich repozytoriach.

W oświadczeniu przekazanym The Hacker News, OpenAI zauważyło, że Codex Security ma na celu poprawę stosunku sygnałów do szumów, poprzez osadzenie wykrywania luk w kontekście systemu oraz walidację wyników przed ich udostępnieniem użytkownikom.

Agent działa w trzech etapach: analizuje repozytorium, aby zrozumieć strukturę bezpieczeństwa projektu i generuje edytowalny model zagrożeń, który uchwyca, co robi oraz w jakich miejscach jest najbardziej narażony.

Po zbudowaniu kontekstu systemu, Codex Security wykorzystuje go jako fundament do identyfikacji luk i klasyfikuje wyniki na podstawie ich rzeczywistego wpływu. Wskazane problemy są testowane w środowisku sandbox, aby je walidować.

„Kiedy Codex Security jest skonfigurowane z środowiskiem dostosowanym do Twojego projektu, może walidować potencjalne problemy bezpośrednio w kontekście działającego systemu,” powiedziało OpenAI. „Ta głębsza walidacja może dodatkowo zredukować liczbę fałszywych pozytywów i umożliwić stworzenie działających dowodów koncepcji, dając zespołom zabezpieczeń mocniejsze argumenty oraz jaśniejszą ścieżkę do naprawy.”

Ostatni etap polega na zaproponowaniu poprawek, które najlepiej pasują do zachowań systemu, aby zredukować regresje oraz ułatwić ich przegląd i wdrożenie.

Informacje o Codex Security pojawiły się kilka tygodni po tym, jak Anthropic wprowadziło Claude Code Security, aby pomóc użytkownikom skanować bazy kodu oprogramowania w poszukiwaniu luk oraz proponować łatki.