Codex Security: Now in Research Preview
OpenAI
Codex Security is an AI application security agent that analyzes project context to detect, validate, and patch complex vulnerabilities with higher confidence and less noise.
Codex Security:現已進入研究預覽階段
AI 生成摘要
我們今天推出應用程式安全代理 Codex Security。它能建立專案的深層上下文,識別其他代理工具遺漏的複雜漏洞,提供高置信度的發現與修復建議,在顯著提升系統安全的同時,讓您免於無意義錯誤的干擾。
Codex Security:現已推出研究預覽版
2026 年 3 月 6 日
Codex Security:現已推出研究預覽版
今天,我們正式介紹 Codex Security,這是我們的應用程式安全代理(Application Security Agent)。它能針對您的專案建立深層的上下文資訊,以識別其他代理工具容易遺漏的複雜漏洞,並提供具備更高信賴度的發現與修復方案,在切實提升系統安全性的同時,讓您免受無關緊要的錯誤干擾。
在評估真實安全風險時,上下文至關重要,但大多數 AI 安全工具僅會標記低影響的發現和誤報,迫使安全團隊花費大量時間進行篩選。與此同時,代理工具正在加速軟體開發,使得安全審查成為日益關鍵的瓶頸。Codex Security 解決了這兩項挑戰。透過將我們前沿模型的代理推理能力與自動化驗證相結合,它能提供高信賴度的發現和可執行的修復建議,讓團隊能夠專注於真正重要的漏洞,並更快地交付安全程式碼。
Codex Security 的前身為 Aardvark,去年開始作為私人測試版與一小部分客戶合作。在早期的內部部署中,它發現了一個真實的 SSRF、一個關鍵的跨租戶身分驗證漏洞,以及許多其他問題,我們的安全團隊在數小時內便完成了修復。與外部測試者的早期部署幫助我們改進了用戶提供相關產品上下文的方式,並縮短了從入門到保障程式碼安全的時間。在測試期間,我們還顯著提升了發現問題的品質:對相同儲存庫的持續掃描顯示精準度不斷提高,在一個案例中,自初始發布以來,雜訊減少了 84%。我們將嚴重程度報告過高的比例降低了 90% 以上,且在所有儲存庫中,偵測的誤報率下降了 50% 以上。這些改進幫助 Codex Security 更好地將報告的嚴重程度與現實世界的風險對齊,減輕安全團隊不必要的篩選負擔,我們預計信噪比將持續改善。
從今天開始,Codex Security 將透過 Codex 網頁版向 ChatGPT Enterprise、Business 和 Edu 客戶推出研究預覽版,並在下個月提供免費使用。
Codex Security 的運作原理
Codex Security 利用 OpenAI 的前沿模型和 Codex 代理。它透過將漏洞發現、驗證和修補建立在特定系統的上下文中,來減少雜訊並加速修復。
Codex Security 還能隨著時間從您的回饋中學習,以提高其發現問題的品質。當您調整某項發現的嚴重程度時,它會利用該回饋來完善威脅模型,並在後續執行中提高精準度,因為它會學習您的架構和風險狀況中哪些才是重要的。
它旨在進行大規模運作,並提供具備高信賴度的發現與易於採納的補丁。在過去 30 天內,Codex Security 掃描了測試群組外部儲存庫中超過 120 萬個提交(commits),識別出 792 個關鍵發現和 10,561 個高嚴重性發現。關鍵問題出現在不到 0.1% 的掃描提交中,這表明該系統能夠在大量程式碼中識別影響安全的議題,同時將審查者的雜訊降至最低。
支持開源社群
開源軟體構成了現代系統的基礎,包括我們自己的系統。我們一直使用 Codex Security 掃描我們最依賴的開源儲存庫,並與維護者分享我們識別出的高影響安全發現,以協助鞏固這一基礎。
在我們與維護者的對話中,出現了一個一致的主題:挑戰不在於缺乏漏洞報告,而在於有太多低質量的報告。維護者告訴我們,他們需要更少的誤報,以及一種更永續的方式來發現真實的安全問題,而不會產生額外的篩選負擔。這些對話幫助塑造了我們透過 Codex Security 支持開源社群的方式。我們並非生成大量推測性的發現,而是建立一個優先處理維護者可以快速採取行動的高信賴度問題的系統。
作為這項工作的一部分,我們向許多廣泛使用的開源專案報告了關鍵漏洞,包括 OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP 和 Chromium 等。目前已分配了 14 個 CVE,其中兩個為雙重報告——我們在附錄中分享了一些範例。
我們最近開始邀請首批開源維護者加入 Codex for OSS 計畫,這是我們透過提供免費的 ChatGPT Pro 和 Plus 帳戶、程式碼審查以及 Codex Security 來支持生態系統的計畫。像 vLLM 這樣的專案已經在使用 Codex Security 作為其正常工作流程的一部分來發現並修復問題。
我們計劃在未來幾週內擴大該計畫,讓更多維護者擁有直接的路徑來獲得更好的安全性、更強的審查工作流程,並為生態系統所依賴的開源工作提供支持。如果您是開源維護者並對此感興趣,請與我們聯繫。
開始使用
我們將在未來幾天內向 ChatGPT Enterprise、Business 和 Edu 客戶開放 Codex Security 的存取權限。請查看我們的文件以了解更多關於為您的團隊設置 Codex Security 的資訊。
附錄
由 Codex Security 發現的高影響開源軟體漏洞範例:
作者
延伸閱讀
產品 | 2026 年 3 月 5 日
產品 | 2026 年 3 月 5 日
產品 | 2026 年 3 月 3 日