OpenAI Codex Security扫描120万次提交，发现10561个高危漏洞

OpenAI于周五开始推出Codex Security，这是一个由人工智能驱动的安全智能体，旨在查找、验证漏洞并提出修复建议。

该功能目前以研究预览版的形式向ChatGPT Pro、企业版、商业版和教育版客户通过Codex网页版提供，下个月可免费使用。

OpenAI表示："它能深入了解你的项目上下文，识别其他智能体工具遗漏的复杂漏洞，提供更高置信度的发现结果和修复方案，从而有效提升系统安全性，同时避免无关紧要的错误带来的干扰。"

Codex Security是Aardvark的演进版本。OpenAI于2025年10月以私有测试版形式推出Aardvark，帮助开发人员和安全团队大规模检测和修复安全漏洞。

在过去30天的测试期间，Codex Security扫描了外部代码库中超过120万次提交，识别出792个严重漏洞和10561个高危漏洞。这些漏洞涉及多个开源项目，包括OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP和Chromium等。部分漏洞列举如下：

GnuPG - CVE-2026-24881、CVE-2026-24882

GnuTLS - CVE-2025-32988、CVE-2025-32989

GOGS - CVE-2025-64175、CVE-2026-25242

Thorium - CVE-2025-35430、CVE-2025-35431、CVE-2025-35432、CVE-2025-35433、CVE-2025-35434、CVE-2025-35435、CVE-2025-35436

据这家AI公司介绍，应用安全智能体的最新版本利用了其前沿模型的推理能力，并结合自动化验证来最大限度降低误报风险，提供可操作的修复方案。

OpenAI对同一代码库的多次扫描显示出精确度不断提高，误报率持续下降，所有代码库的误报率下降了50%以上。

OpenAI在向The Hacker News分享的声明中表示，Codex Security旨在通过将漏洞发现建立在系统上下文基础上，并在向用户展示之前验证发现结果，从而提高信噪比。

具体而言，该智能体分三个步骤工作：首先分析代码库，掌握项目与安全相关的系统结构，并生成可编辑的威胁模型，捕捉系统功能和最易受攻击的位置。

系统上下文构建完成后，Codex Security以此为基础识别漏洞，并根据实际影响对发现结果进行分类。标记的问题会在沙箱环境中进行压力测试以验证其真实性。

OpenAI表示："当Codex Security配置了针对你项目定制的环境时，它可以直接在运行系统的上下文中验证潜在问题。这种更深层次的验证可以进一步减少误报，并能够创建可工作的概念验证，为安全团队提供更有力的证据和更清晰的修复路径。"

最后阶段，智能体会提出与系统行为最匹配的修复方案，以减少回归问题，使其更易于审查和部署。

Codex Security的发布距离Anthropic推出Claude Code Security仅数周时间，后者同样帮助用户扫描软件代码库中的漏洞并提出补丁建议。

Q&A

Q1：OpenAI Codex Security是什么？它有什么功能？

A：Codex Security是OpenAI推出的人工智能驱动的安全智能体，专门用于查找、验证代码漏洞并提出修复建议。它能深入分析项目上下文，识别复杂漏洞，提供高置信度的发现结果和修复方案，有效提升系统安全性。

Q2：Codex Security在测试期间发现了多少漏洞？

A：在过去30天的测试期间，Codex Security扫描了超过120万次代码提交，识别出792个严重漏洞和10561个高危漏洞。这些漏洞涉及OpenSSH、GnuTLS、GOGS、Thorium、PHP、Chromium等多个知名开源项目。

Q3：Codex Security是如何工作的？

A：Codex Security分三步工作：首先分析代码库并生成威胁模型，掌握系统结构和易受攻击位置；然后基于系统上下文识别漏洞并分类，在沙箱环境中验证问题真实性；最后提出与系统行为匹配的修复方案，减少回归问题。