OpenAI重磅发布Codex Security，安全误判率骤降90%！

关注CAIE，国内头部AI人才认证、培训体系，助你在职场升职加薪。

今天凌晨2点10分，OpenAI重磅发布了安全AI智能体Codex Security。

从今天开始，Codex Security的研究预览版已经在Codex网页端上线了，ChatGPT企业版、商业版和教育版的用户都能用上，而且未来一个月是免费的，这波福利属实到位了。

做代码安全检测的朋友应该都有同感，看真实的安全风险，项目的上下文信息特别重要。

可现在不少AI安全工具根本抓不住重点，要么标一堆没什么影响的小问题，还会报假漏洞，安全团队每天光在这些无效信息里筛选排查，时间全耗没了。

而且现在AI智能体工具让软件开发速度越来越快，安全评审反倒成了拖后腿的环节，卡着进度走不动。

Codex Security就是冲着这两个痛点来的，通过把前沿大模型的超强推理能力和自动化验证技术揉到了一起，不仅能精准找到真正的漏洞，给出的检测结果可信度超高，连修复方案都是能直接落地。

这样团队就能把所有精力放在核心漏洞上，不用再被杂七杂八的问题干扰，代码能更快更安全地发布。

其实这款工具早有雏形，之前叫Aardvark，去年就开启了小规模的私有测试，当时只对部分客户开放。

早期在内部用的时候，它就立了大功，直接检测出了服务器端请求伪造和跨租户认证这类严重的真实漏洞，安全团队拿到结果后，几小时就把补丁打好了。

后来和外部测试人员合作使用，还优化了用户提交项目上下文信息的方式，从工具接入到整个代码安全防护的流程，都打磨得更顺畅了。

测试阶段的优化效果更是肉眼可见，对同一个代码仓库持续扫描的过程中，检测精准度一直在提升。

其中一个使用场景里，从首次推出到现在，无效的干扰信息直接少了84%，把漏洞严重等级报高的情况降了90%以上，所有代码仓库的检测误报率也都降了超50%。

Codex Security工作原理

Codex Security核心就是结合每个系统的专属上下文，去做漏洞发现、验证和补丁修复，一步步把无效干扰减到最少，让漏洞补救的速度提上来。

首先它会先给项目搭起专属的上下文，生成能编辑的威胁模型。只要完成扫描配置，它就会自动分析整个代码仓库，把系统里和安全相关的架构理得明明白白，然后生成一个只属于这个项目的威胁模型。

这个模型能清楚展示系统的功能、信任体系，还有哪些地方是核心的风险暴露点。

而且还支持手动编辑，完全能跟着团队的安全工作需求调整，不会出现工具和实际工作脱节的情况。

接着就到了漏洞优先级划分和验证环节，这也是它比其他工具精准的关键。

它会以刚生成的威胁模型为依据，去排查系统里的漏洞，还会根据漏洞在实际业务中可能造成的影响，给检测结果分等级。

哪些是急着修的核心漏洞，哪些是可以缓一缓的，一眼就能看清。

条件允许的话，它还会在沙箱验证环境里对检测结果做压力测试，把真漏洞和无效的干扰信息彻底分开，用户还能直接看到每一个已验证结果的分析过程。

如果给它配置了和项目适配的运行环境，它甚至能在实际运行的系统里直接验证潜在漏洞，这种深度验证不仅能把误报率压得更低。

还能生成可运行的概念验证程序，给安全团队提供实打实的漏洞证据，修复的路径也能定得明明白白，不用再自己摸索。

最后一步，就是结合全系统的上下文给出修复方案。它不会随便给个通用方案就完事，而是针对发现的每个漏洞，结合系统的设计初衷和周边的业务逻辑，给出适配性极强的修复方案。

按照这个方案打补丁，既能提升系统的安全性，又能最大程度减少系统回归的问题，后续补丁的评审和落地都会更安全。

用户还能自己筛选检测结果，只看团队最关注、安全影响最高的漏洞，把精力用在刀刃上。

更重要的是，Codex Security还能持续学习用户的反馈，越用越精准。如果用户调整了某个漏洞的严重等级，它会把这个反馈记下来，优化对应的威胁模型。

后续再扫描的时候，精准度会更高，慢慢就会适配企业的架构特点和风险防控策略，相当于为每个企业量身打造了一个专属的安全检测助手。

在过去30天里，Codex Security给测试版用户的外部代码仓库做了超120万次代码提交扫描，一共发现了792个严重漏洞、10561个高危漏洞，而严重漏洞出现在不到0.1%的扫描提交记录里。

这组数据就能看出来，它能在海量的代码里精准揪出那些影响大的安全漏洞，同时把评审人员要面对的无效干扰降到最低，效率直接拉满。

目前用Codex Security已经在多款广泛使用的开源项目里发现了严重的安全漏洞，像OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP和Chromium这些大家常用的项目都在其中。

想系统掌握AI核心技能、获取行业认可资质？

CAIE注册人工智能工程师认证

助你拓宽职业赛道，成为AI领域持证实力派