OpenAI上周五（3月6日）发布了Codex Security，这是一款用于应用程序安全的AI代理，目前处于研究预览阶段。该工具可自动分析代码、发现潜在安全漏洞并提出修复建议。OpenAI强调，Codex Security能够理解整个系统的上下文并验证漏洞，以降低误报率并提升漏洞检测质量，目标是让AI协助完成部分原本需要安全工程师执行的代码安全审查工作。

Codex Security目前通过Codex Web运行，主要扫描连接的GitHub代码仓库。系统会逐条分析代码提交（Commit），构建仓库的安全上下文并识别可能的漏洞。目前官方文档仅提及支持GitHub仓库，尚未宣布支持其他代码托管平台。

在运行流程上，Codex Security大致分为三个阶段。首先，系统会分析代码库并建立项目专属的威胁模型，以理解系统架构、信任边界与潜在攻击面。接着，AI模型会根据这些上下文搜索潜在漏洞，并依据其对实际系统的影响程度进行分类。对于检测到的问题，系统可在隔离的沙箱环境中进行验证，以确认漏洞是否真实存在，从而降低误报。最后，Codex Security会提出修复建议与代码修改方案，帮助开发者快速修复漏洞。

OpenAI指出，许多现有的应用安全工具主要依赖静态分析或漏洞特征匹配，因此常产生大量低影响或误报的警报，导致安全团队需耗费大量时间进行人工筛选。Codex Security则利用AI模型理解整体程序架构，并在可能的情况下验证漏洞是否可被利用，以提高漏洞报告的可信度，减少无效警报。

Codex Security最初名为Aardvark，曾于少数客户中进行私有测试。在早期部署中，系统曾发现SSRF漏洞与跨租户认证漏洞等安全问题。随着测试持续推进，其漏洞检测质量逐步提升，例如在同一个代码库的扫描中，误报噪音降低了84%，漏洞严重性过度评估的比例也减少了90%以上。

OpenAI表示，在最近30天的测试中，Codex Security扫描了超过120万次代码提交，发现了792个重大漏洞和超过1万个高严重性漏洞，而重大漏洞仅出现在不到0.1%的提交中。

目前Codex Security已开始逐步向ChatGPT Pro、Enterprise、Business和Edu用户开放，推出后首月可免费使用，但OpenAI尚未公布正式版发布时间。