0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Пока разработчики спали, ИИ нашёл 10 тысяч уязвимостей в их проектах. А исправлять кто будет?

leer en español

OpenAI Codex Security Anthropic Claude Code Security DevSecOps уязвимости ИИ
Пока разработчики спали, ИИ нашёл 10 тысяч уязвимостей в их проектах. А исправлять кто будет?
OpenAI Codex Security Anthropic Claude Code Security DevSecOps уязвимости ИИ

OpenAI вывела на рынок своего главного автономного контролёра.

image

OpenAI представила Codex Security — ИИ-агента для поиска, проверки и устранения уязвимостей в программных проектах. Новый инструмент уже запустили в формате исследовательского превью через веб-версию Codex для клиентов ChatGPT Pro, Enterprise, Business и Edu. В течение ближайшего месяца доступ обещан без дополнительной платы.

Codex Security вырос из проекта Aardvark, который OpenAI вывела в закрытую бета-версию осенью 2025 года для масштабного поиска проблем в безопасности. Теперь компания делает следующий шаг и продвигает систему как более зрелый продукт для DevSecOps-команд и разработчиков.

По данным OpenAI, за последние 30 дней бета-версия Codex Security проверила свыше 1,2 млн коммитов во внешних репозиториях и выявила 792 критически опасные проблемы, а также 10 561 уязвимость высокой степени серьёзности. Среди затронутых проектов компания перечислила OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP и Chromium. В перечень также вошли несколько уже зарегистрированных CVE для GnuPG, GnuTLS, GOGS и Thorium.

В OpenAI утверждают, что новый агент использует возможности рассуждения флагманских моделей вместе с автоматической проверкой найденных проблем. Такой подход должен сокращать число ложных срабатываний и предлагать не абстрактные советы, а пригодные для внедрения исправления. По внутренним замерам компании, точность проверки со временем выросла, а уровень ложных тревог во всех репозиториях снизился более чем на 50%.

Работа Codex Security строится в три этапа. Сначала система анализирует репозиторий, выделяет важные для безопасности части проекта и формирует редактируемую модель угроз. Затем агент ищет слабые места, оценивает возможный ущерб в реальных условиях и дополнительно проверяет находки в изолированной среде. На заключительном этапе сервис предлагает варианты исправления с учётом поведения системы, чтобы снизить риск побочных сбоев и упростить проверку изменений перед развёртыванием.

OpenAI отдельно подчёркивает, что при настройке среды под конкретный проект Codex Security может проверять потенциальные проблемы прямо в контексте работающей системы. Такой режим, по версии компании, ещё сильнее уменьшает долю ошибочных сигналов и помогает формировать рабочие PoC-эксплойты для подтверждения уязвимости.

Запуск Codex Security произошёл вскоре после выхода Claude Code Security от Anthropic. Рынок ИИ-инструментов для аудита кода быстро движется к модели, где система не только указывает на риск, но и помогает доказать наличие проблемы и подготовить исправление.