OpenAI представила Codex Security — инструмент для автоматического аудита кода, который снижает количество ложных срабатываний за счет глубокого понимания архитектуры системы.
3 мин
OpenAI объявила о запуске исследовательского предварительного просмотра (research preview) своего нового инструмента — Codex Security. Это агент безопасности приложений, ранее известный под внутренним кодовым именем Aardvark. Главная задача системы — находить сложные уязвимости в коде, проверять их реальность и предлагать готовые исправления.
Ключевое отличие Codex Security от существующих статических анализаторов заключается в работе с контекстом. Большинство современных инструментов безопасности заваливают разработчиков ложными срабатываниями, помечая маловажные ошибки как критические. Новый агент OpenAI пытается решить эту проблему, анализируя архитектуру проекта целиком, чтобы отделять реальные угрозы от информационного шума.
Проблема безопасности кода становится все острее по мере того, как разработка ускоряется с помощью тех же ИИ-агентов. Если раньше код писали люди и проверяли люди, то теперь генеративные модели создают огромные объемы кода, и ручная проверка становится узким местом.
5.4 Thinking Art Card
Традиционные инструменты (SAST/DAST) часто работают по шаблонам, не понимая бизнес-логики приложения. Это приводит к так называемой «усталости от предупреждений» (alert fatigue), когда команды безопасности просто игнорируют отчеты из-за большого количества мусора. Codex Security позиционируется как решение, которое не просто находит ошибку, но и понимает, насколько она критична именно в данной конфигурации системы.
Работа Codex Security строится на трех этапах:
В ходе бета-тестирования OpenAI заявила о снижении количества ложных срабатываний на 50% и уменьшении числа находок с завышенной критичностью на 90%.
ChatGPT Excel 1x1
За последние 30 дней бета-теста Codex Security просканировал более 1,2 миллиона коммитов. Критические проблемы были найдены менее чем в 0,1% случаев, что говорит о высокой точности фильтрации.
OpenAI активно использует этот инструмент для проверки открытого программного обеспечения (Open Source), на котором строятся современные системы. В результате были обнаружены и исправлены уязвимости в таких проектах, как OpenSSH, GnuTLS, PHP и Chromium. В приложении к анонсу компания перечислила конкретные CVE (идентификаторы уязвимостей), найденные агентом, включая переполнения буфера и обходы аутентификации.
Выход Codex Security знаменует переход от простых «помощников в написании кода» к автономным агентам, способным выполнять сложные инженерные задачи. Способность самостоятельно валидировать уязвимость (то есть пытаться взломать систему в безопасной среде) — это серьезный шаг вперед по сравнению с обычным чтением кода.
Для индустрии это означает потенциальное снижение порога входа в качественную безопасность (AppSec). Малые команды, у которых нет бюджета на штат экспертов по безопасности, смогут получить уровень защиты, сопоставимый с крупными корпорациями.
Инструмент становится доступен пользователям ChatGPT Enterprise, Business и Edu. В ближайшем будущем стоит ожидать интеграции подобных агентов непосредственно в CI/CD пайплайны (конвейеры непрерывной интеграции), где они будут блокировать уязвимый код еще до того, как он попадет в основную ветку разработки.
OpenAI запускает Codex Security — агента, который не просто ищет ошибки в коде, но и проверяет их реальную опасность, значительно снижая нагрузку на специалистов по безопасности.
Главная проблема современной кибербезопасности не в том, чтобы найти уязвимость, а в том, чтобы отфильтровать тысячи ложных сигналов; ИИ теперь берет на себя роль фильтра, а не просто детектора.
