OpenAI представила Codex Security — спеціалізований ІІ‑агент для пошуку вразливостей у програмному коді, орієнтований на команди розробки та безпеки. За час бета‑тестування сервіс проаналізував понад 1,2 млн комітів та виявив 792 критичні і 10 561 серйозну вразливість у популярних open source‑проєктах, частина з яких уже отримала офіційні ідентифікатори CVE.
OpenAI Codex Security: ІІ‑агент для безпечної розробки та AppSec
Наразі Codex Security доступний у форматі research preview для підписників ChatGPT Pro, Enterprise, Business та Edu через веб‑інтерфейс Codex. Перший місяць заявлено як безкоштовний, що дозволяє командам випробувати інтеграцію ІІ‑агента у процеси Secure SDLC (SSDLC) — від рев’ю pull‑requests до регулярного аналізу репозиторіїв.
Інструмент став еволюцією внутрішнього проєкту Aardvark — ІІ‑агента, який OpenAI тестувала у закритій бета‑версії. Aardvark позиціонувався як автономний помічник для розробників та фахівців з кібербезпеки, здатний знаходити та автоматично виправляти дефекти у великих кодових базах. Під час внутрішніх випробувань агент, зокрема, виявив SSRF‑вразливість (Server‑Side Request Forgery) та критичний баг обходу автентифікації між орендарями (multi‑tenant), які згодом були виправлені розробниками.
Як працює Codex Security: модель загроз, контекст і статичний аналіз коду
Відмінності від класичного SAST: акцент на моделі загроз
Класичні системи SAST (Static Application Security Testing) здебільшого працюють за правилами та сигнатурами, фіксуючи типові помилки на кшталт небезпечної обробки користувацького вводу чи некоректного керування винятками. Codex Security підходить до задачі інакше: замість лінійного сканування коду агент спочатку аналізує структуру репозиторію, архітектуру та бізнес‑призначення застосунку, формуючи індивідуальну модель загроз для конкретного проєкту.
ІІ‑агент намагається зрозуміти, які дані є найбільш чутливими (персональні, платіжні, ключі доступу), як реалізована автентифікація та авторизація, які зовнішні сервіси інтегровані, і лише потім шукає потенційно небезпечні ланцюжки викликів. Такий підхід наближений до роботи аудитора з безпеки, а не класичного сканера коду.
Сформована модель загроз залишається редагованою: фахівці з ІБ можуть уточнювати сценарії атак, додавати власні припущення щодо векторів компрометації, змінювати пріоритети та зони ризику. Це дає змогу адаптувати ІІ‑агента під особливості галузі, архітектури та політик безпеки організації, а також зменшити кількість нерелевантних знахідок.
Зменшення хибних спрацювань завдяки песочниці
Одна з ключових проблем у автоматизованому пошуку вразливостей — велика кількість false positive, які перевантажують команди AppSec. Codex Security намагається розв’язати це за рахунок верифікації вразливостей у песочниці.
Після виявлення підозрілої ділянки коду ІІ‑агент не обмежується репортом, а намагається підтвердити експлуатацію вразливості в ізольованому середовищі. За даними OpenAI, у ході бета‑тестування кількість false positives скоротилася більш ніж на 50% по всіх аналізованих репозиторіях, а рівень «шуму» від малозначущих або важко експлуатованих проблем у деяких проєктах знизився до 84%. Для практики Application Security це суттєво підвищує ефективність обробки знахідок.
Виявлені CVE та ризики для ланцюгів постачання ПЗ
OpenAI повідомляє, що ІІ‑агент виявив вразливості у низці широко використовуваних проєктів: OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP та Chromium. Частині проблем уже присвоєно ідентифікатори в базі CVE, зокрема: CVE-2025-32988 та CVE-2025-32989 у GnuTLS, CVE-2025-64175 і CVE-2026-25242 у GOGS, а також серія ідентифікаторів для браузера Thorium (CVE-2025-35430 — CVE-2025-35436).
Той факт, що ІІ‑агент виявляє вразливості у критично важливих бібліотеках шифрування, SSH‑компонентах і браузерах, підкреслює зростаючу роль автоматизованого аналізу коду в екосистемі open source. Помилка у популярній криптобібліотеці чи SSH‑клієнті потенційно впливає на тисячі продуктів по всьому світу, посилюючи ризики для software supply chain security.
На завершальному етапі роботи Codex Security пропонує готові патчі, які враховують поведінку системи та мінімізують ймовірність повторної появи подібних дефектів. Розробники можуть переглядати ці виправлення, обговорювати їх у рамках code review та застосовувати безпосередньо з інтерфейсу, вбудовуючи ІІ‑агента у наявні CI/CD‑конвеєри.
Підтримка open source та конкуренція ІІ‑інструментів кібербезпеки
Паралельно з запуском Codex Security OpenAI анонсувала програму Codex for OSS. Мейнтейнери відкритих проєктів можуть отримати безкоштовні акаунти ChatGPT Pro та доступ до ІІ‑агента для пошуку вразливостей. Такий підхід спрямований на зниження «технічного боргу» в open source та підвищення базового рівня безпеки екосистеми за рахунок проактивного аналізу коду.
Вихід Codex Security вписується у ширший тренд використання генеративного ІІ в кібербезпеці. Лише кількома тижнями раніше Anthropic представила конкуруючий інструмент Claude Code Security. Формується новий клас рішень, де ІІ‑агенти не лише знаходять уразливості, а й пропонують контекстно залежні виправлення, скорочуючи час реагування на дефекти.
Водночас експертний аудит залишається критично важливим. Найкращі результати досягаються при комбінуванні ІІ‑агентів на кшталт OpenAI Codex Security з класичними SAST‑інструментами, ручним code review, тестуванням на проникнення та регулярним оновленням залежностей.
Організаціям, які розвивають власні продукти, доцільно вже зараз планувати інтеграцію ІІ‑агентів у конвеєр розробки: запускати аналіз коду на етапі pull‑request, використовувати модель загроз для пріоритизації беклогу безпеки та налагоджувати постійний діалог між Dev і Sec‑командами. Мейнтейнерам open source‑проєктів варто розглянути участь у програмах на кшталт Codex for OSS, щоб зменшити ризики компрометації користувачів і зміцнити довіру до своїх рішень. Чим раніше ІІ‑інструменти пошуку вразливостей стануть стандартом індустрії, тим складніше буде зловмисникам експлуатувати помилки у програмному забезпеченні.
