OpenAI 推出 Codex Security 以发现和修复软件漏洞

OpenAI 于周四发布了 Codex Security,这是一款由 AI 驱动的应用安全智能体,可扫描代码库以检测、验证和修补漏洞——标志着该公司最直接地进军网络安全市场。该工具现已开放研究预览版,进入了一个竞争日益激烈的领域,Anthropic 和开源替代方案也在争相重塑组织保护其软件的方式。

Codex Security 的工作原理

Codex Security 前身为 Aardvark,OpenAI 于去年推出了该工具的私有测试版。它通过分析代码仓库的结构来构建项目特定的威胁模型,然后按照实际影响程度搜寻漏洞并进行排序。在可能的情况下,它会在沙盒环境中对发现的问题进行压力测试,以在提出修复方案之前剔除误报,并确保修复方案与系统现有行为保持一致。

根据 OpenAI 的公告,该工具在测试期间扫描了外部代码仓库中超过 120 万次提交,识别出 792 个严重级别和 10,561 个高危级别的问题。严重问题出现在不到 0.1% 的扫描提交中。该公司表示,在测试期间,所有代码仓库的误报率下降了 50% 以上,严重程度误判率降低了 90% 以上。

OpenAI 还披露,Codex Security 已经向广泛使用的开源项目报告了漏洞,包括 OpenSSH、GnuTLS、PHP 和 Chromium,共获得了 14 个 CVE 编号。产品安全主管 Chandan Nandakumaraiah 在推荐中表示,该工具给人的感觉是"一位经验丰富的产品安全研究人员正在与我们并肩工作"。

Codex Security 正在向 ChatGPT Enterprise、Business 和 Edu 客户推出,首月免费使用。

AI驱动的安全领域三方竞逐

该产品发布距离Anthropic在2月20日推出Claude Code Security仅几周之时,后者是一款竞争性工具,可以扫描代码库并使用多阶段验证建议补丁,目前作为面向企业客户的限量研究预览版发布。与此同时,网络安全初创公司Knostic开源了OpenAnt,这是一款基于Anthropic Opus 4.6模型构建的LLM漏洞扫描器,采用两阶段检测-攻击管道来验证发现结果。

Knostic表示,它无意与OpenAI或Anthropic的商业产品直接竞争,而是将OpenAnt定位为一款面向社区的工具,服务于那些无法访问企业级扫描平台的开源维护者。

双重用途困境

此次发布之前，OpenAI 内部已就其模型的网络安全风险进行了数月的准备工作。首席执行官 Sam Altman 在一月份表示，即将推出的 Codex 更新将首次达到公司准备框架中的"高"网络安全风险级别，承认了该技术的双重用途性质。OpenAI 表示，最初将实施产品限制以防止滥用，然后转向 Altman 所说的"防御性加速"——帮助用户比对手更快地修补漏洞。Altman 在 X 上写道："世界快速采用这些工具来提高软件安全性非常重要，很快世界上将会有许多功能非常强大的模型"。