Компания OpenAI представила Codex Security — специализированный инструмент для анализа безопасности программного кода, построенный на базе агентных ИИ-моделей. Как сообщает Techzine Global, решение нацелено на радикальное снижение количества ложноположительных срабатываний, которые остаются главной «головной болью» современных систем статического и динамического анализа (SAST/DAST).
Продукт, доступный в превью-статусе, отходит от традиционного паттерн-матчинга в пользу глубокого понимания контекста всего репозитория. Вместо того чтобы подсвечивать изолированные фрагменты кода, система выстраивает динамическую модель угроз на естественном языке, интерпретируя логику работы приложения и выявляя наиболее критические точки входа, такие как механизмы загрузки пользовательских данных.
Механика работы и изоляция среды
Процесс анализа в Codex Security организован через создание временной копии кода в изолированном контейнере. В зависимости от объема кодовой базы сканирование может занимать несколько дней — нетипично долгий срок для эпохи быстрых CI/CD циклов, что намекает на значительные вычислительные затраты и глубину проработки каждой ветки исполнения.
Ключевым отличием является этап верификации: найденные потенциальные бреши автоматически проверяются в песочнице на предмет их реальной эксплуатируемости. Только те баги, которые удалось «пробить» в тестовой среде, ранжируются по степени серьезности и передаются разработчикам. Остальные гипотезы сохраняются в логах для последующего ручного аудита, что позволяет избежать замусоривания рабочего пространства ИБ-инженеров.
Переход от простого поиска подозрительных конструкций к автоматическому подтверждению эксплойтов в песочнице — логичный шаг, превращающий ИИ из шумного ассистента в полноценного пентестера. Однако зависимость от проприетарных моделей OpenAI создает риски vendor lock-in и ставит вопросы о конфиденциальности интеллектуальной собственности при глубоком сканировании. Без прозрачности в обучении этих «агентов» инструмент рискует остаться дорогой игрушкой для корпораций, готовых доверить свои секреты черному ящику.
От внутреннего инструмента к рыночному продукту
Технология выросла из внутреннего проекта Aardvark, который OpenAI использовала для аудита собственных систем. В ходе закрытого бета-тестирования компании удалось снизить число ложных срабатываний более чем в два раза. Масштабы впечатляют: за последний месяц Codex Security проанализировал свыше 1,2 млн коммитов во внешних репозиториях, выявив сотни критических уязвимостей.
Эффективность решения подтверждается практическими результатами: 14 найденных багов уже получили официальные идентификаторы в базе CVE. Среди наиболее серьезных находок — ошибки аутентификации в многопользовательских средах и уязвимости типа SSRF. В дополнение к коммерческому запуску OpenAI открывает программу поддержки open-source сообщества, предоставляя мейнтейнерам доступ к инструменту для усиления безопасности открытого ПО.
На текущем этапе Codex Security интегрирован в веб-интерфейс для подписчиков ChatGPT Enterprise, Business и Edu. Появление этого продукта усиливает конкуренцию в нише ИИ-безопасности, где уже активно закрепилась Anthropic со своим решением Claude Code Security, и знаменует переход OpenAI от генерации кода к его профессиональной защите.
Оставить комментарий