OpenAI发布Codex Security：扫描120万次代码提交发现10,561个高危漏洞

OpenAI于周五正式推出Codex Security——一款由人工智能驱动的安全代理工具，旨在发现、验证并修复代码漏洞。

该功能目前以研究预览版的形式向ChatGPT Pro、Enterprise、Business和Edu用户开放，通过Codex网页版即可使用，未来一个月内免费。

"它能够深度理解项目上下文，识别其他代理工具遗漏的复杂漏洞，提供高置信度的发现结果和修复建议，切实提升系统安全性，同时避免无关紧要的bug噪音。"OpenAI表示。

Codex Security是Aardvark的进化版本，OpenAI于2025年10月以私人测试版形式发布了Aardvark，帮助开发者和安全团队大规模检测和修复安全漏洞。

扫描成果惊人

在过去30天的测试期间，Codex Security扫描了超过120万次代码提交，识别出：

• 792个关键漏洞
• 10,561个高危漏洞

这些漏洞涉及多个知名开源项目，包括OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP和Chromium等。部分已确认的CVE漏洞包括：

• GnuPG：CVE-2026-24881、CVE-2026-24882
• GnuTLS：CVE-2025-32988、CVE-2025-32989
• GOGS：CVE-2025-64175、CVE-2026-25242
• Thorium：CVE-2025-35430至CVE-2025-35436（共7个）

三重工作机制

据OpenAI介绍，Codex Security通过三个步骤工作：

1. 系统分析：分析代码仓库，理解项目的安全相关结构，生成可编辑的威胁模型
2. 漏洞识别：基于系统上下文识别漏洞，并在沙箱环境中验证
3. 修复建议：提出与系统行为最佳匹配的修复方案

OpenAI表示，随着时间推移，Codex Security的扫描精度不断提高，误报率在所有仓库中下降了超过50%。

AI安全工具竞争加剧

Codex Security的发布紧随Anthropic推出Claude Code Security之后，后者同样用于扫描代码漏洞并建议补丁。这标志着AI巨头们在代码安全领域的竞争正在升温。

本文翻译自The Hacker News，原文链接：https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html