OpenAI представила Codex Security — ИИ-агента для поиска, проверки и устранения уязвимостей в программных проектах. Новый инструмент уже запустили в формате исследовательского превью через веб-версию Codex для клиентов ChatGPT Pro, Enterprise, Business и Edu. В течение ближайшего месяца доступ обещан без дополнительной платы.
Codex Security вырос из проекта Aardvark, который OpenAI вывела в закрытую бета-версию осенью 2025 года для масштабного поиска проблем в безопасности. Теперь компания делает следующий шаг и продвигает систему как более зрелый продукт для DevSecOps-команд и разработчиков.
По данным OpenAI, за последние 30 дней бета-версия Codex Security проверила свыше 1,2 млн коммитов во внешних репозиториях и выявила 792 критически опасные проблемы, а также 10 561 уязвимость высокой степени серьёзности. Среди затронутых проектов компания перечислила OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP и Chromium. В перечень также вошли несколько уже зарегистрированных CVE для GnuPG, GnuTLS, GOGS и Thorium.
В OpenAI утверждают, что новый агент использует возможности рассуждения флагманских моделей вместе с автоматической проверкой найденных проблем. Такой подход должен сокращать число ложных срабатываний и предлагать не абстрактные советы, а пригодные для внедрения исправления. По внутренним замерам компании, точность проверки со временем выросла, а уровень ложных тревог во всех репозиториях снизился более чем на 50%.
Работа Codex Security строится в три этапа. Сначала система анализирует репозиторий, выделяет важные для безопасности части проекта и формирует редактируемую модель угроз. Затем агент ищет слабые места, оценивает возможный ущерб в реальных условиях и дополнительно проверяет находки в изолированной среде. На заключительном этапе сервис предлагает варианты исправления с учётом поведения системы, чтобы снизить риск побочных сбоев и упростить проверку изменений перед развёртыванием.
OpenAI отдельно подчёркивает, что при настройке среды под конкретный проект Codex Security может проверять потенциальные проблемы прямо в контексте работающей системы. Такой режим, по версии компании, ещё сильнее уменьшает долю ошибочных сигналов и помогает формировать рабочие PoC-эксплойты для подтверждения уязвимости.
Запуск Codex Security произошёл вскоре после выхода Claude Code Security от Anthropic. Рынок ИИ-инструментов для аудита кода быстро движется к модели, где система не только указывает на риск, но и помогает доказать наличие проблемы и подготовить исправление.
Компания Anthropic сообщила о результатах совместной работы с Mozilla, в рамках которой модель искусственного интеллекта Claude Opus 4.6 помогла найти в браузере Firefox 22 новые уязвимости. История примечательна не только количеством находок, но и тем, что часть дефектов удалось обнаружить за считаные минуты, а сама проверка заняла всего две недели.
Из 22 выявленных проблем 14 получили высокий уровень опасности, семь — средний, ещё одна — низкий. Большую часть уязвимостей уже закрыли в Firefox 148, выпущенном в конце февраля, а оставшиеся исправления Mozilla пообещала включить в следующие версии браузера. В Anthropic уточнили, что за время проверки система проанализировала почти 6 тысяч файлов на C++ и отправила Mozilla 112 уникальных отчётов.
По данным компании, только за 20 минут анализа Claude Opus 4.6 обнаружил ошибку Use-After-Free в JavaScript-компоненте Firefox. После находки проблему отдельно проверил специалист в виртуальной среде, чтобы исключить ложное срабатывание.
Mozilla в своём сообщении добавила, что подход с использованием ИИ помог выявить ещё 90 ошибок. Большую часть уже устранили. Среди находок оказались как сбои, похожие на результаты традиционного фаззинга, так и логические ошибки, которые такие инструменты обычно пропускают. В Mozilla считают, что масштаб результатов показывает растущую ценность ИИ-анализа как дополнения к обычным методам аудита безопасности.
С заботой о вашей безопасности, команда Origin Security
