OpenAI представила Codex Security — ИИ-агента для поиска уязвимостей, который за время бета-тестирования проанализировал более 1,2 млн коммитов и выявил 792 критические и 10 561 серьезную уязвимость в популярных опенсорсных проектах.
В настоящее время Codex Security доступен в формате research preview для подписчиков ChatGPT Pro, Enterprise, Business и Edu через веб-интерфейс Codex (причем в течение первого месяца использование бесплатно).
Инструмент стал продолжением проекта Aardvark — ИИ-агента, которого в OpenAI анонсировали в закрытой бете еще в октябре 2025 года. Aardvark задумывался как автономный помощник для разработчиков и ИБ-команд, способный находить и исправлять уязвимости в больших кодовых базах. Еще во время внутренних тестов агент обнаружил реальную SSRF-уязвимость и критический баг обхода аутентификации между тенантами, и разработчики OpenAI исправили обе проблемы.
В компании подчеркивают, что Codex Security отличается от классических инструментов статического анализа. Агент не просто сканирует код: сначала он изучает репозиторий, выстраивает модель угроз конкретного проекта и лишь потом переходит к поиску уязвимостей. Модель угроз при этом остается редактируемой, и ИБ-команды могут корректировать ее под свои нужды.
«Codex Security выстраивает глубокий контекст проекта, чтобы выявлять сложные уязвимости, которые пропускают другие агентные инструменты, и давать более точные результаты с готовыми исправлениями», — заявляют разработчики.
Найденные уязвимости агент дополнительно проверяет в песочнице, чтобы отсеять ложные срабатывания. По данным OpenAI, за время бета-тестирования доля false positive снизилась более чем на 50% по всем репозиториям, а «шум» от малозначимых находок в отдельных случаях упал на 84%.
Среди обнаруженных ИИ-агентом проблем перечислены уязвимости в OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP и Chromium. Часть находок уже получила идентификаторы CVE, например: CVE-2025-32988 и CVE-2025-32989 в GnuTLS, CVE-2025-64175 и CVE-2026-25242 в GOGS, а также серия CVE в Thorium (CVE-2025-35430 — CVE-2025-35436).
На финальном этапе агент предлагает патчи, которые учитывают поведение системы и минимизируют риск повторения проблем. Разработчики могут просматривать и применять исправления прямо из интерфейса.
Параллельно с запуском Codex Security в OpenAI объявили о специальной программе Codex for OSS — бесплатных аккаунтах ChatGPT Pro и доступе к Codex Security для мейнтейнеров опенсорсных проектов.
Отметим, что запуск нового агента состоялся спустя несколько недель после того, как конкурирующий инструмент Claude Code Security представила компания Anthropic.
