OpenAI Codex Security掃描120萬次提交，發現10561個高危漏洞

OpenAI于周五開始推出Codex Security，這是一個由人工智能驅動的安全智能體，旨在查找、驗證漏洞并提出修復建議。

該功能目前以研究預覽版的形式向ChatGPT Pro、企業版、商業版和教育版客戶通過Codex網頁版提供，下個月可免費使用。

OpenAI表示："它能深入了解你的項目上下文，識別其他智能體工具遺漏的復雜漏洞，提供更高置信度的發現結果和修復方案，從而有效提升系統安全性，同時避免無關緊要的錯誤帶來的干擾。"

Codex Security是Aardvark的演進版本。OpenAI于2025年10月以私有測試版形式推出Aardvark，幫助開發人員和安全團隊大規模檢測和修復安全漏洞。

在過去30天的測試期間，Codex Security掃描了外部代碼庫中超過120萬次提交，識別出792個嚴重漏洞和10561個高危漏洞。這些漏洞涉及多個開源項目，包括OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP和Chromium等。部分漏洞列舉如下：

GnuPG - CVE-2026-24881、CVE-2026-24882

GnuTLS - CVE-2025-32988、CVE-2025-32989

GOGS - CVE-2025-64175、CVE-2026-25242

Thorium - CVE-2025-35430、CVE-2025-35431、CVE-2025-35432、CVE-2025-35433、CVE-2025-35434、CVE-2025-35435、CVE-2025-35436

據這家AI公司介紹，應用安全智能體的最新版本利用了其前沿模型的推理能力，并結合自動化驗證來最大限度降低誤報風險，提供可操作的修復方案。

OpenAI對同一代碼庫的多次掃描顯示出精確度不斷提高，誤報率持續下降，所有代碼庫的誤報率下降了50%以上。

OpenAI在向The Hacker News分享的聲明中表示，Codex Security旨在通過將漏洞發現建立在系統上下文基礎上，并在向用戶展示之前驗證發現結果，從而提高信噪比。

具體而言，該智能體分三個步驟工作：首先分析代碼庫，掌握項目與安全相關的系統結構，并生成可編輯的威脅模型，捕捉系統功能和最易受攻擊的位置。

系統上下文構建完成后，Codex Security以此為基礎識別漏洞，并根據實際影響對發現結果進行分類。標記的問題會在沙箱環境中進行壓力測試以驗證其真實性。

OpenAI表示："當Codex Security配置了針對你項目定制的環境時，它可以直接在運行系統的上下文中驗證潛在問題。這種更深層次的驗證可以進一步減少誤報，并能夠創建可工作的概念驗證，為安全團隊提供更有力的證據和更清晰的修復路徑。"

最后階段，智能體會提出與系統行為最匹配的修復方案，以減少回歸問題，使其更易于審查和部署。

Codex Security的發布距離Anthropic推出Claude Code Security僅數周時間，后者同樣幫助用戶掃描軟件代碼庫中的漏洞并提出補丁建議。

Q&A

Q1：OpenAI Codex Security是什么？它有什么功能？

A：Codex Security是OpenAI推出的人工智能驅動的安全智能體，專門用于查找、驗證代碼漏洞并提出修復建議。它能深入分析項目上下文，識別復雜漏洞，提供高置信度的發現結果和修復方案，有效提升系統安全性。

Q2：Codex Security在測試期間發現了多少漏洞？

A：在過去30天的測試期間，Codex Security掃描了超過120萬次代碼提交，識別出792個嚴重漏洞和10561個高危漏洞。這些漏洞涉及OpenSSH、GnuTLS、GOGS、Thorium、PHP、Chromium等多個知名開源項目。

Q3：Codex Security是如何工作的？

A：Codex Security分三步工作：首先分析代碼庫并生成威脅模型，掌握系統結構和易受攻擊位置；然后基于系統上下文識別漏洞并分類，在沙箱環境中驗證問題真實性；最后提出與系統行為匹配的修復方案，減少回歸問題。