OpenAI Codex Security просканировал 1,2 миллиона коммитов: выявлено 10 561 критическая уязвимость
Ландшафт безопасности программного обеспечения смещается от реактивного исправления патчей к проактивной идентификации на базе ИИ. OpenAI официально вышла на эту арену с запуском Codex Security, сложного агента безопасности на базе искусственного интеллекта. В ходе своего первого крупномасштабного развертывания инструмент просканировал 1,2 миллиона коммитов кода и выявил 10 561 уязвимость высокой степени серьезности — проблемы, которые традиционные автоматизированные инструменты часто упускают из виду.
Этот релиз знаменует собой важную веху в эволюции DevSecOps. Выходя за рамки простого сопоставления с паттернами, OpenAI стремится предоставить разработчикам инструмент, который понимает «почему» стоит за уязвимостью, а не только «где» она находится.
От Aardvark к Codex Security
Codex Security является прямым потомком Aardvark, внутреннего проекта OpenAI, тестирование которого началось в рамках закрытого бета-тестирования в конце 2025 года. В то время как Aardvark в основном использовался для помощи собственным разработчикам OpenAI в защите их инфраструктуры, Codex Security был доработан до уровня готового к использованию потребительского агентского инструмента.
В отличие от традиционных инструментов статического анализа безопасности (SAST), которые помечают потенциальные проблемы на основе жестких правил, Codex Security функционирует как «агент». Это означает, что он не просто сканирует код; он перемещается по кодовой базе, понимает зависимости и проверяет, является ли потенциальный недостаток действительно эксплуатируемым в конкретном контексте приложения. OpenAI утверждает, что именно эта эволюция от пассивного сканера к активному валидатору снижает уровень «шума» от ложных срабатываний, которые часто досаждают командам безопасности.
Сила глубокого контекста
Одной из основных проблем автоматизированной безопасности является контекст. Фрагмент кода может выглядеть опасным в изоляции, но быть совершенно безопасным благодаря внешней санитизации или архитектурным ограничениям. И наоборот, на первый взгляд безобидный код может стать катастрофическим в сочетании с конкретными версиями библиотек или переменными окружения.
OpenAI описывает эту возможность как «глубокий контекст». Чтобы понять это, представьте себе инспектора по строительству. Традиционный инструмент подобен датчику, который пищит, если видит оголенный провод. Codex Security подобен опытному электрику, который видит оголенный провод, прослеживает его до распределительной коробки, понимает, что это часть резервной системы, которая в данный момент обесточена, и решает, представляет ли это реальный риск возгорания или просто требует небольшой корректировки.
Создавая такую всеобъемлющую карту проекта, агент может выдавать результаты с более высокой степенью достоверности. Это позволяет разработчикам сосредоточить свое ограниченное время на 10 561 критической проблеме, которые действительно имеют значение, вместо того чтобы просеивать тысячи малозначимых предупреждений.
Сравнение подходов: ИИ против традиционных SAST
Чтобы понять, какое место Codex Security занимает в современном рабочем процессе разработки, полезно сравнить его возможности с традиционными инструментами безопасности.
| Функция | Традиционные инструменты SAST | OpenAI Codex Security |
|---|---|---|
| Метод анализа | Сопоставление с паттернами и эвристика | Агентские рассуждения и глубокий контекст |
| Уровень ложных срабатываний | Часто высокий; требует ручной сортировки | Низкий; проверяет находки перед отчетом |
| Устранение уязвимостей | Общие советы или ссылки на документацию | Предлагает конкретные исправления кода с учетом контекста |
| Область охвата | Обычно ограничена отдельными файлами/модулями | Полная осведомленность о репозитории и зависимостях |
| Скорость | Очень быстро для небольших сканирований | Медленнее, но более тщательно и автономно |
Разбор 10 561 находки
Хотя OpenAI не опубликовала полную разбивку конкретных уязвимостей, обнаруженных в ходе сканирования 1,2 миллиона коммитов, ярлык «высокой степени серьезности» обычно относится к недостаткам, которые могут привести к несанкционированному доступу к данным, удаленному выполнению кода (RCE) или полной компрометации системы.
Во многих случаях эти уязвимости были обнаружены не в новом коде, а в устаревших разделах репозиториев, где предположения о безопасности, сделанные много лет назад, больше не соответствуют действительности. Агентная природа Codex Security позволяет ему «перечитывать» старый код через призму современных векторов угроз, выявляя логические ошибки, которые годами скрывались на виду.
Практические советы для разработчиков
Codex Security в настоящее время доступен в режиме предварительного исследования (research preview) для пользователей ChatGPT Pro, Enterprise, Business и Edu. В течение следующего месяца использование бесплатно, что дает командам возможность интегрировать его в свои CI/CD-конвейеры без немедленных затрат.
Если вы планируете протестировать инструмент, рассмотрите следующие шаги:
- Начните с устаревших проектов: Запустите агента на старых кодовых базах, где документация может быть скудной. Именно здесь способность инструмента выводить контекст наиболее ценна.
- Проверяйте предлагаемые исправления: Хотя Codex Security предлагает исправления, он не заменяет человеческий контроль. Всегда проверяйте предложенные изменения кода в тестовой среде.
- Интегрируйте, а не заменяйте: Используйте Codex Security вместе с существующими линтерами и инструментами SAST. Он предназначен для выявления «сложных» проблем, но традиционные инструменты все еще быстрее справляются с простыми синтаксическими ошибками безопасности.
- Следите за галлюцинациями: Как и в случае с любым инструментом на базе LLM, существует ненулевой риск того, что ИИ «галлюцинирует» исправление, которое вносит другую логическую ошибку. Относитесь к его результатам как к качественному черновику, а не как к окончательной команде.
Будущее автономной безопасности
Запуск Codex Security сигнализирует о переходе к автономным операциям по обеспечению безопасности. По мере усложнения программного обеспечения и увеличения скорости развертывания человеческие команды безопасности не могут вручную проверять каждую строку кода. Инструменты, способные выступать в качестве «множителя силы» — находя, проверяя и исправляя недостатки в масштабе — станут стандартной частью инструментария разработчика. Пока же 10 561 обнаруженная проблема служит отрезвляющим напоминанием о том, как много работы предстоит сделать для обеспечения безопасности мирового программного обеспечения.
Источники
- OpenAI Official Blog: Introducing Codex Security
- OpenAI Research: Scaling Vulnerability Detection with Agentic AI
- TechCrunch: OpenAI’s Aardvark Evolves into Codex Security
- Cybersecurity & Infrastructure Security Agency (CISA): Guidelines on AI-Assisted Development
До встречи на другой стороне.
Наше решение для электронной почты и облачного хранения данных со сквозным шифрованием обеспечивает наиболее мощные средства безопасного обмена данными, гарантируя их сохранность и конфиденциальность.
/ Создать бесплатный аккаунт
