OpenAI 推出 Codex Security 安全智能体研究预览版,利用 AI 深度理解代码上下文,发现传统工具遗漏的高危漏洞。
Codex Security:AI 驱动的应用安全革命
OpenAI 宣布推出 Codex Security 研究预览版,面向 ChatGPT Pro、Enterprise、Business 和 Edu 用户开放,首月免费使用。这是一款 AI 驱动的安全智能体(Security Agent),旨在发现、验证并提出代码漏洞修复方案。
核心能力
Codex Security 能够对项目建立深度上下文理解,识别其他 Agentic 工具容易遗漏的复杂漏洞,同时输出高置信度的发现结果和修复建议,帮助开发者专注于真正重要的安全问题,而非被无意义的噪声淹没。
该智能体会自动生成一个可编辑的威胁模型(Threat Model),识别系统信任边界、攻击面和核心功能。由于该模型可由开发团队自行编辑,因此能够与团队的特定风险策略保持一致。
测试表现
在 Beta 测试中,Codex Security 的表现令人瞩目:
- 扫描了 120 万次 commits,发现 10,561 个高危问题
- 噪声降低高达 84%
- 误报率降低超过 50%
- 过度报告的严重性问题减少超过 90%
开源项目中的真实发现
Codex Security 已在广泛使用的开源项目中发现并报告了真实漏洞,包括 OpenSSH、GnuTLS 和 Chromium,共获分配 14 个 CVE 编号。这证明了该工具不仅在理论基准测试中表现出色,更能在真实世界的代码库中发挥实际作用。
适用场景
- ChatGPT Enterprise 订阅用户
- 需要增强应用安全检测能力的开发团队
- 寻求降低漏洞检测误差的组织
编辑点评
Codex Security 的发布标志着 AI 安全工具从"静态分析"向"深度理解"的跨越。传统 SAST/DAST 工具最大的痛点就是误报率高、噪声大,开发者往往对安全告警产生"狼来了"式的疲劳感。OpenAI 通过让 AI 理解项目完整上下文和业务逻辑来降低误报,这个思路是正确的。但值得注意的是,研究预览阶段的"首月免费"策略暗示未来定价不会便宜——安全领域的 AI 工具能否真正替代人类安全研究员,还需要更多实战检验。14 个 CVE 的成绩虽然亮眼,但和顶级安全团队的产出相比仍是杯水车薪。
