在AI与软件开发深度融合的当下,代码安全问题正变得愈发关键。3月6日,OpenAI正式推出Codex Security——一款由AI驱动的应用安全代理工具,为代码漏洞检测领域带来了新的解决方案。这款工具此前以“Aardvark”为代号,经过近一年的私有测试后,如今进入研究预览阶段,向ChatGPT Pro、Enterprise、Business及Edu用户开放,并且首月提供免费使用权限。
与传统静态代码分析工具不同,Codex Security的核心优势在于其项目专属威胁模型构建能力。在扫描代码库之前,它会先分析整个代码仓库的架构,系统梳理项目功能、信任边界以及风险暴露最高的环节,在此基础上构建针对性的威胁模型。开发团队还可以根据自身的风险偏好对模型进行调整,确保检测结果与实际需求高度匹配。
为了验证漏洞的真实性与危害性,Codex Security会在沙箱环境中对潜在漏洞进行压力测试,生成概念验证(PoC)漏洞利用程序,以此确认漏洞在真实场景中的影响,避免误判。在完成检测后,它还会直接提供修复补丁建议,帮助开发团队快速解决问题。
从测试数据来看,Codex Security的表现已经展现出了规模化处理的能力。在过去30天的测试中,它扫描了超过120万次外部代码提交,发现了792个严重漏洞和10561个高风险问题。值得注意的是,严重漏洞仅出现在不到0.1%的扫描提交中,这意味着它在处理大规模代码库时,能够有效控制误报数量,减轻安全团队的审核负担。
OpenAI透露,在测试期间,Codex Security的精准度得到了大幅提升:部分场景下误报率下降了84%,整体误报率降低超50%,严重程度误报的情况更是减少了90%以上。此外,该工具还具备学习能力,当用户调整某一漏洞的严重等级后,它会自动优化后续扫描的威胁模型,持续提升检测准确性。
这一特性恰好回应了安全团队对AI编码工具的普遍担忧。2025年的一项研究显示,在100多款大语言模型完成的80项编码任务中,AI生成的代码有45%存在安全漏洞。随着AI生成代码的普及,下游的漏洞检测工具的重要性愈发凸显,而Codex Security的低误报率无疑是一大优势。
在实际应用中,Codex Security已经展现出强大的漏洞挖掘能力。OpenAI利用它在OpenSSH、Chromium、GnuTLS、GOGS、Thorium、libssh和PHP这7个广泛使用的开源项目中发现了安全缺陷,并获得了14个通用漏洞披露(CVE)编号,其中有2个漏洞是与其他研究人员联合发现的。
针对开源项目维护者面临的困境,OpenAI还推出了Codex for OSS计划,为开源维护者提供免费的ChatGPT Pro和Plus账号、代码审查支持以及Codex Security的使用权限。vLLM项目已经率先使用该工具在日常工作流程中发现并修复了问题,OpenAI表示未来几周内将扩大该计划的覆盖范围。
OpenAI推出Codex Security,标志着它正式进军应用安全市场,与Snyk、Semgrep、Veracode等老牌厂商展开竞争。与此同时,谷歌也在近期公布了Chrome浏览器中AI代理功能的安全架构,显示出AI代理与安全工具的结合正成为科技巨头关注的新赛道。
不过,Codex Security仍有一些未知因素待解:OpenAI尚未公布免费试用期结束后的定价策略,也未透露支撑其推理能力的具体前沿模型;目前它仅通过Codex网页端运行,不支持API级别的集成,这可能会限制那些已有成熟安全自动化流程的团队的采用意愿。未来,它能否在规模化应用中保持精准度,以及能否获得开源维护者的广泛认可,将决定它是成为AI辅助开发生态中的固定工具,还是仅停留在研究预览阶段。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/openai-tui-chu-codex-security-ai-qu-dong-de-dai-ma-lou-dong
