OpenAI 推出
Codex Security,這是一款以 AI 驅動的安全代理程式,可自動審查程式碼庫、驗證漏洞並提出修補建議。此舉距 Anthropic 發布 Claude Code Security 工具僅數週,兩大 AI 巨頭在程式碼安全領域的競爭日趨白熱化。
從私測到公開預覽
Codex Security 前身為代號 Aardvark 的內部專案,於 2025 年 10 月進入私人測試階段,由小規模客戶群協助打磨產品的引導流程與情境共享機制。此次以「研究預覽」形式向 ChatGPT Pro、Enterprise、Business 及 Edu 用戶開放,可透過 Codex Web 使用,並提供一個月免費存取期。
Beta 測試數據
在過去 30 天的測試期間,Codex Security 掃描了外部儲存庫中超過 120 萬次提交,識別出 792 個嚴重漏洞及 10,561 個高危漏洞。嚴重問題僅出現在不到 0.1% 的掃描提交中,顯示系統在處理大量程式碼時能精準篩選並減少雜訊。對同一儲存庫的重複掃描顯示,誤報率隨時間下降超過 50%。
受影響的開源專案包括 OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP 及 Chromium。部分漏洞已獲 CVE 編號,例如:
- GnuPG:CVE-2026-24881、CVE-2026-24882
- GnuTLS:CVE-2025-32988、CVE-2025-32989
- GOGS:CVE-2025-64175、CVE-2026-25242
- Thorium:CVE-2025-35430 至 CVE-2025-35436
三步驟運作流程
Codex Security 結合前沿推理模型與自動化驗證,採三階段方式運作:
第一步:建立系統情境。工具先分析儲存庫的安全結構,生成可編輯的威脅模型,記錄系統功能及最脆弱的暴露點,作為後續掃描的基礎。
第二步:識別並驗證漏洞。系統以威脅模型為依據搜尋漏洞,並依實際影響程度排列優先順序。有別於傳統模式比對,它會在沙箱環境中對候選漏洞進行壓力測試,降低誤報。若配置了符合專案的執行環境,還可直接在運行系統內驗證,並視情況生成可執行的概念驗證(PoC),為安全團隊提供更有力的風險佐證。
第三步:建議修補方案。針對確認的漏洞,系統提出與現有程式碼行為及架構設計相符的修補建議,降低引入新問題的風險,方便團隊直接審查與合併。用戶也可自行篩選結果,聚焦於對自身安全影響最大的議題。
OpenAI 表示,隨著採用規模擴大,偵測品質與信噪比仍將持續改善。
本文轉載自 HelpNetSecurity、TheHackerNews