OpenAI ha annunciato l’anteprima pubblica di Codex Security (noto in precedenza come Aardvark). È un agente AI specializzato nella ricerca e validazione delle vulnerabilità software. Può anche suggerire le patch, ovvero le modifiche da applicare al codice per eliminare i bug. Si tratta quindi del diretto concorrente di Claude Code Security di Anthropic.

Come funziona Codex Security

OpenAI evidenzia che la maggioranza degli strumenti di sicurezza basati sull’intelligenza artificiale si limita a segnalare risultati a basso impatto e falsi positivi. Allo stesso tempo, gli agenti AI consentono di velocizzare lo sviluppo del software, rendendo la revisione della sicurezza un collo di bottiglia sempre più critico. Codex Security risolve entrambi i problemi. Combinando ragionamento agentico dei modelli AI e convalida automatizzata trova le vulnerabilità e suggerisce le correzioni al codice con elevata affidabilità.

Dopo aver analizzato il codice sorgente nei repository, Codex Security comprende la struttura e genera un “threat model”. Cerca quindi le vulnerabilità e classifica i risultati in base all’impatto sui sistemi reali. Successivamente effettuata la validazione per ridurre i falsi positivi e consente la creazione di proof-of-concept funzionanti. Infine suggerisce fix per risolvere i problemi rilevati. Ovviamente è sempre richiesto il controllo umano.

Negli ultimi 30 giorni, Codex Security ha identificato 792 vulnerabilità critiche e 10.561 vulnerabilità con gravità alta in vari repository di progetti open source, tra cui OpenSSH⁠, GnuTLS, GOGS⁠, Thorium⁠, libssh, PHP e Chromium.

Codex Security sarà disponibile in research preview ai clienti ChatGPT Pro, Enterprise, Business ed Edu tramite Codex Web con utilizzo gratuito per il prossimo mese. Gli sviluppatori trovano tutte le informazioni in questa pagina.