在Anthropic发布其代码安全工具Claude Code Security仅两周后,OpenAI也正式推出了自己的解决方案——Codex Security。这项内置于其编程助手Codex中的新功能,旨在帮助开发者自动发现并修复代码中的安全漏洞。
Codex Security正式发布
OpenAI今日正式发布Codex Security。它本质上是一个能深度理解代码逻辑的智能审计员,可以直接介入开发流程,识别潜在的安全风险并提供具体的修复方案。
Codex Security的工作原理与技术流程
开发者使用起来并不复杂。授权该工具访问你的代码仓库后,它会在一个隔离的容器环境中创建代码副本,并启动一个可能持续数天的深度分析过程。
分析完成后,Codex Security会生成一份详尽的“威胁模型”文档。这份自然语言报告会清晰地描述程序的运行逻辑,并特别指出其中的薄弱环节。比如,它会详细列出处理用户数据上传的接口,这类模块往往是黑客的首要攻击目标。
有趣的是,这个威胁模型是可定制的。如果某个组件特别敏感,开发者可以添加详细说明,引导工具进行更优先、更深入的扫描。整个漏洞发现流程,都将基于这份定制化的威胁模型来展开。
漏洞检测与修复的闭环流程
发现了漏洞还不够,关键是确认它是否真的能被利用。Codex Security会将所有发现的潜在漏洞放入沙箱环境中进行实际攻击测试,以此来验证其可利用性。这样可以有效排除“误报”。
经过验证确认的真实漏洞,会被按严重程度分级。对于那些未通过沙箱测试、暂时被标记为“误报”的案例,工具也会保留完整的日志,方便开发者后续复查,避免遗漏。
对于每一个被确认的漏洞,Codex Security不仅会告诉你问题在哪,还会直接给出包含修复代码和说明的解决方案。开发者审核无误后,点击一个按钮就能将修复代码部署到生产环境,实现了从发现到修复的完整闭环。
从内部工具到全球开发者服务
Codex Security并非凭空出现,它的前身是OpenAI内部使用的代码分析工具Aardvark。经过内部测试和改进,其误报率已降低了50%以上。
在有限的早期测试中,用户已经用它发现了超过11,000个高危漏洞。OpenAI自己也用它扫描了其业务所依赖的一些主流开源工具,并成功发现了14个严重到足以被收录进CVE(通用漏洞披露)数据库的漏洞。
目前,Codex Security以“研究预览版”的形式,向ChatGPT企业版、团队版和教育版用户开放。同时,OpenAI也启动了一项针对开源项目维护者的免费使用计划,以帮助提升整个开源生态的安全性。
参考来源:
OpenAI introduces Codex Security to help developers fix software vulnerabilities
https://siliconangle.com/2026/03/06/openai-introduces-codex-security-help-developers-fix-software-vulnerabilities/
你对AI自动修复代码漏洞的能力和前景怎么看?欢迎在云栈社区的安全板块参与讨论。 | 
发表于 前天 02:34
|
查看: 16|
回复: 0
