OpenAI 推出 Codex Security,提升代码安全防护
OpenAI 正式发布了 Codex Security,一款专为自动检测、验证和修复企业及开源代码库中复杂漏洞的安全 Agent。该工具源自 Aardvark,利用先进 AI 模型进行上下文感知的安全评估,目标是替代传统静态分析工具,减少低价值告警和误报对安全团队的干扰。
核心优势
Codex Security 不同于传统工具,它通过构建项目专属的可编辑威胁模型来启动分析,能够映射信任边界和潜在暴露点。基于这种上下文信息,Agent 会按实际风险优先处理漏洞,而非依赖通用启发式规则。
此外,为降低误报干扰,Codex Security 在沙箱环境中执行 PoC 漏洞验证,并在确认漏洞后生成上下文敏感的补丁,以最大限度减少回归风险并保持系统兼容性。
测试结果
在私有测试阶段,该系统显著改善了信号噪声比。OpenAI 报告显示:告警噪声减少 84%,过度报告严重性降低 90%,误报率下降超过 50%。
在最后 30 天测试中,Agent 扫描超过 120 万次外部代码提交,识别 792 个关键漏洞和 10,561 个高危问题,其中关键漏洞在所有扫描提交中占比不足 0.1%。
开源安全保护
Codex Security 尤其适用于关键开源软件审计(OSS)。OpenAI 已使用该工具对 OpenSSH、GnuTLS、PHP 和 Chromium 等项目进行扫描,专注于可操作情报,而非推测性报告。扫描发现多个高危 0Day 漏洞,并促成 14 个官方 CVE 编号的分配。
同时,OpenAI 推出 "Codex for OSS" 计划,为符合条件的开源维护者免费提供 ChatGPT Pro 账户、代码审查工具和 Codex Security 服务。
部分关键漏洞示例
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
安全与开发团队应参考 OpenAI 官方文档完成代码库集成并建立威胁模型。开源维护者可申请加入 "Codex for OSS" 计划。使用相关组件的组织应关注供应商公告,并及时部署已验证补丁。
参考来源:
OpenAI Launches Codex Security that Discover, Validate and Patch Vulnerabilities
网站资讯
渠道合作
解决方案
更多服务
