Codex Security 进入研究预览阶段:AI 应用安全代理,高置信度检测与修复漏洞
OpenAI 推出 Codex Security:AI 驱动的应用安全代理
2026年3月6日,OpenAI 正式宣布其应用安全代理 Codex Security 进入研究预览阶段。这款工具旨在通过深度分析项目上下文,以更高的置信度和更低的噪音,检测、验证并修复复杂的安全漏洞,从而帮助开发团队更高效地保障代码安全。
为什么需要 Codex Security?
在当前的软件开发环境中,AI 代理正在加速代码生成与迭代,但安全审查却成为日益突出的瓶颈。传统 AI 安全工具往往存在两个主要问题:
- 大量低影响发现和误报:导致安全团队花费大量时间进行筛选和分类。
- 缺乏上下文理解:难以识别真正复杂的漏洞,影响风险评估的准确性。
Codex Security 正是为了解决这些挑战而生。它结合了 OpenAI 前沿模型的代理推理能力与自动化验证,专注于提供高置信度的发现和可操作的修复建议,让团队能够聚焦于真正重要的漏洞,并更快地交付安全代码。
核心能力与改进
Codex Security 的前身是 Aardvark,去年已在小范围客户中进行了私有测试。在早期内部部署中,它成功发现了真实的 SSRF(服务器端请求伪造)漏洞、关键的跨租户身份验证漏洞等多个问题,安全团队在几小时内就完成了修复。
通过外部测试者的反馈,工具在提供相关产品上下文和从入门到代码安全的全流程方面得到了显著优化。更重要的是,其检测质量在测试期间持续提升:
- 精度不断提高:对同一代码库的多次扫描显示,检测精度随时间增加,在某个案例中,噪音自初始推出以来减少了 84%。
- 误报率大幅下降:所有代码库的误报率降低了超过 50%,同时,严重性被高估的发现率减少了 90% 以上。
这些改进帮助 Codex Security 更好地将报告的严重性与实际风险对齐,减轻了安全团队不必要的分类负担,预计信噪比将继续改善。
工作原理与可用性
Codex Security 利用 OpenAI 的前沿模型和 Codex 代理,通过基于系统特定上下文的漏洞发现、验证和修复,来减少噪音并加速补救过程。它能够构建系统上下文,并创建可编辑的威胁模型,从而更精准地识别复杂漏洞。
从今天起,Codex Security 开始以研究预览形式向 ChatGPT Enterprise、Business 和 Edu 客户 推出,通过 Codex 网页平台提供,并在接下来一个月内免费使用。这标志着 OpenAI 在将 AI 技术深度整合到软件开发安全流程中迈出了重要一步,有望为行业带来更智能、更高效的安全解决方案。
