OpenAI 推出 Codex Security，AI 智能体助你自动修复软件漏洞

OpenAI 于周四发布了 Codex Security，这是一款由 AI 驱动的应用安全智能体，可扫描代码库以检测、验证和修补漏洞——标志着该公司最直接地进军网络安全市场。该工具现已开放研究预览版，进入了一个竞争日益激烈的领域，Anthropic 和开源替代方案也在争相重塑组织保护其软件的方式。

Codex Security 的工作原理

Codex Security 前身为 Aardvark，OpenAI 于去年推出了该工具的私有测试版。它通过分析代码仓库的结构来构建项目特定的威胁模型，然后按照实际影响程度搜寻漏洞并进行排序。在可能的情况下，它会在沙盒环境中对发现的问题进行压力测试，以在提出修复方案之前剔除误报，并确保修复方案与系统现有行为保持一致。

根据 OpenAI 的公告，该工具在测试期间扫描了外部代码仓库中超过 120 万次提交，识别出 792 个严重级别和 10,561 个高危级别的问题。严重问题出现在不到 0.1% 的扫描提交中。该公司表示，在测试期间，所有代码仓库的误报率下降了 50% 以上，严重程度误判率降低了 90% 以上。OpenAI

OpenAI 还披露，Codex Security 已经向广泛使用的开源项目报告了漏洞，包括 OpenSSH、GnuTLS、PHP 和 Chromium，共获得了 14 个 CVE 编号。产品安全主管 Chandan Nandakumaraiah 在推荐中表示，该工具给人的感觉是“一位经验丰富的产品安全研究人员正在与我们并肩工作”。OpenAI

Codex Security 正在向 ChatGPT Enterprise、Business 和 Edu 客户推出，首月免费使用。OpenAI

AI 驱动的安全领域三方竞逐

该产品发布距离 Anthropic 在 2 月 20 日推出 Claude Code Security 仅几周之时，后者是一款竞争性工具，可以扫描代码库并使用多阶段验证建议补丁，目前作为面向企业客户的限量研究预览版发布。与此同时，网络安全初创公司 Knostic 开源了 OpenAnt，这是一款基于 Anthropic Opus 4.6 模型构建的大语言模型漏洞扫描器，采用两阶段检测-攻击管道来验证发现结果。

Knostic 表示，它无意与 OpenAI 或 Anthropic 的商业产品直接竞争，而是将 OpenAnt 定位为一款面向社区的工具，服务于那些无法访问企业级扫描平台的开源维护者。CybersecurityNews

双重用途困境

此次发布之前，OpenAI 内部已就其模型的网络安全风险进行了数月的准备工作。首席执行官 Sam Altman 在一月份表示，即将推出的 Codex 更新将首次达到公司准备框架中的“高”网络安全风险级别，承认了该技术的双重用途性质。OpenAI 表示，最初将实施产品限制以防止滥用，然后转向 Altman 所说的“防御性加速”——帮助用户比对手更快地修补漏洞。Altman 在 X 上写道：“世界快速采用这些工具来提高软件安全性非常重要，很快世界上将会有许多功能非常强大的模型”。