OpenAI ha lanzado Codex Security, un agente de inteligencia artificial especializado en detección de vulnerabilidades en código fuente y apoyo a procesos de desarrollo seguro (SSDLC). Durante su fase de beta cerrada, la herramienta analizó más de 1,2 millones de commits en proyectos open source y localizó 792 vulnerabilidades críticas y 10.561 vulnerabilidades graves, algunas ya registradas oficialmente con identificadores CVE.
Acceso a Codex Security y evolución del proyecto interno Aardvark
En esta primera etapa, Codex Security se ofrece como research preview para suscriptores de ChatGPT Pro, Enterprise, Business y Edu, accesible a través de la interfaz web de Codex. El servicio será gratuito durante el primer mes, lo que permite a equipos de desarrollo y seguridad evaluar cómo integrar el agente de IA en su pipeline de DevSecOps y en sus prácticas de AppSec.
Codex Security es la evolución del proyecto interno Aardvark, un agente de IA que OpenAI probó previamente en beta privada. Aardvark se concebía como asistente autónomo para localizar y corregir fallos en grandes bases de código. En estas pruebas internas se identificaron, por ejemplo, una SSRF (Server-Side Request Forgery) y un fallo crítico de bypass de autenticación entre tenants, posteriormente solventados por los desarrolladores.
Cómo funciona Codex Security: de la amenaza al exploit verificable
A diferencia de las herramientas clásicas de análisis estático de código (SAST), Codex Security no se limita a escanear archivos siguiendo reglas prefijadas. El agente comienza por analizar el repositorio, la arquitectura y el contexto de uso de la aplicación para construir una modelo de amenazas específico del proyecto.
Análisis de código con IA más allá del SAST tradicional
Mientras que la mayoría de soluciones SAST se basan en patrones conocidos (por ejemplo, uso inseguro de entradas de usuario o validaciones incompletas), el enfoque de OpenAI Codex Security se aproxima al trabajo de un auditor humano. El agente intenta identificar qué datos son más sensibles, cómo se implementan autenticación y autorización, qué servicios externos se consumen y qué flujos podrían derivar en una explotación real.
Ese modelo de amenazas es editable: los equipos de seguridad pueden ajustar escenarios de ataque, priorizar activos críticos y delimitar zonas de mayor riesgo. Esto facilita adaptar la herramienta al perfil de cada organización, reduciendo falsos positivos y hallazgos poco relevantes, un problema recurrente en AppSec según reflejan informes de organismos como OWASP.
Reducción de falsos positivos mediante pruebas en sandbox
Otro elemento diferenciador de Codex Security es la verificación práctica de vulnerabilidades en una sandbox. El agente no solo señala fragmentos sospechosos de código, sino que intenta reproducir la explotación en un entorno aislado, lo que permite filtrar gran parte del ruido.
De acuerdo con OpenAI, en la beta la tasa de false positives se redujo en más de un 50 % en los repositorios analizados, y en algunos proyectos el “ruido” de hallazgos de bajo impacto descendió hasta un 84 %. Para equipos que gestionan cientos de alertas al día, esta depuración resulta clave para centrar recursos en vulnerabilidades realmente explotables.
Vulnerabilidades descubiertas y repercusión en la cadena de suministro
El agente de IA ha identificado fallos en proyectos ampliamente utilizados como OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP y Chromium. Algunas de estas vulnerabilidades cuentan ya con identificadores en la base CVE, entre ellos: CVE-2025-32988 y CVE-2025-32989 en GnuTLS, CVE-2025-64175 y CVE-2026-25242 en GOGS, así como una serie de CVE para el navegador Thorium (de CVE-2025-35430 a CVE-2025-35436).
Que una herramienta automática logre detectar vulnerabilidades en componentes críticos —como bibliotecas criptográficas o implementaciones SSH— refuerza la idea, ampliamente señalada por ENISA y otros organismos, de que la seguridad de la cadena de suministro de software es un vector de riesgo central. Un solo fallo en una librería popular puede propagarse a miles de productos, como se ha observado en incidentes de alto perfil en los últimos años.
En la fase final del análisis, Codex Security propone parches listos para aplicar, diseñados para corregir el defecto concreto y reducir la probabilidad de que se repita el mismo patrón de error. Estos parches pueden revisarse y aplicarse desde la propia interfaz, facilitando su incorporación a los procesos habituales de code review y pull requests.
Impacto en el ecosistema open source y competencia en IA para ciberseguridad
En paralelo al lanzamiento, OpenAI anunció el programa Codex for OSS, mediante el cual mantenedores de proyectos open source pueden acceder sin coste a cuentas ChatGPT Pro y al agente de análisis de código con inteligencia artificial. El objetivo es reducir el “deuda técnica” acumulada y elevar el nivel base de seguridad del ecosistema gracias a un análisis proactivo de código.
Codex Security se suma a una tendencia creciente de uso de IA generativa en ciberseguridad. Recientemente, Anthropic presentó una herramienta competidora, Claude Code Security, lo que apunta a la consolidación de una nueva categoría de soluciones donde los agentes de IA no solo detectan vulnerabilidades, sino que también generan correcciones contextuales y aceleran los tiempos de respuesta.
Las organizaciones que desarrollan software propio pueden beneficiarse al integrar desde ahora agentes como OpenAI Codex Security en su pipeline: activar el análisis en cada pull request, usar los modelos de amenazas para priorizar correcciones, combinar el agente con SAST tradicional, pentesting y revisiones manuales, y fomentar la colaboración continua entre desarrollo y seguridad. Para los proyectos open source, aprovechar programas de apoyo como Codex for OSS contribuye a disminuir el riesgo para la comunidad de usuarios y a fortalecer la confianza en sus soluciones. Incorporar herramientas de IA para ciberseguridad como estándar del sector hará cada vez más difícil que los atacantes exploten errores triviales en el software.
