OpenAI hat Codex Security, einen neuartigen KI-basierten Sicherheitsagenten für Anwendungen, in die Forschungsphase vorgestellt. Das Tool zielt darauf ab, komplexe Schwachstellen in Softwareprojekten zu identifizieren, die konventionelle Sicherheitswerkzeuge oft übersehen. Im Gegensatz zu vielen anderen KI-Tools, die häufig mit Fehlalarmen und geringfügigen Funden konfrontiert sind, die die Arbeit der Sicherheitsteams belasten, fokussiert sich Codex Security auf fundierte Erkenntnisse mit sofort umsetzbaren Lösungen. Dies soll Entwicklungsteams ermöglichen, sich auf die wirklich kritischen Risiken zu konzentrieren und sichere Software schneller auszuliefern. Früher unter dem Namen Aardvark bekannt, durchlief das System bereits ein Jahr lang eine private Beta-Phase mit einer ausgewählten Gruppe von Kunden und internen Tests. In diesen frühen Einsatzphasen gelang es, ernsthafte Sicherheitslücken wie SSRF-Angriffe und kritische Authentifizierungsfehler zu entdecken, die innerhalb von Stunden behoben werden konnten. Die Qualität der Ergebnisse verbesserte sich kontinuierlich: Während der Beta-Phase sank die Anzahl der Rauschfaktoren in Scans eines bestimmten Repositorys um 84 Prozent. Zudem reduzierte sich die Häufigkeit von überbewerteten Meldungen um über 90 Prozent, und die Rate der Fehlalarme wurde um mehr als die Hälfte gesenkt. Diese Fortschritte sorgen dafür, dass die gemeldeten Schweregrade besser mit dem tatsächlichen Risiko übereinstimmen und den Aufwand für die Analyse unnötiger Warnungen erheblich verringern. Ab sofort ist Codex Security über die Codex-Oberfläche für ChatGPT-Enterprise-, Business- und Edu-Kunden in der Forschungsvorschau verfügbar. Für den nächsten Monat steht die Nutzung kostenfrei zur Verfügung. Das System nutzt Fortschrittliche Modelle von OpenAI in Kombination mit dem Codex-Agenten. Es verankert die Entdeckung, Validierung und Behebung von Sicherheitslücken im spezifischen Kontext des Systems, wodurch das Rauschen reduziert und die Fehlerbehebung beschleunigt wird. Ein besonderes Merkmal ist die Lernfähigkeit: Wenn Benutzer die Einstufung einer Meldung anpassen, nutzt das System dieses Feedback, um sein Bedrohungsmodell zu verfeinern und die Genauigkeit künftiger Scans auf die jeweilige Architektur und Risikolage abzustimmen. In den vergangenen 30 Tagen hat das System im Rahmen der Beta-Tests mehr als 1,2 Millionen Commits in externen Repositories gescannt. Dabei wurden 792 kritische und 10.561 hochkritische Sicherheitsfunde identifiziert. Kritische Probleme traten weniger als in einem Prozent der gescannten Commits auf, was zeigt, dass das System in der Lage ist, sicherheitsrelevante Fehler in großen Codebeständen zu erkennen, ohne die Entwickler mit unwichtigen Meldungen zu überfluten. OpenAI setzt Codex Security auch intensiv im Bereich der Open-Source-Software ein, die das Fundament moderner Systeme bildet. Durch das Scannen wichtiger Open-Source-Repositorien werden hochwirksame Sicherheitslücken identifiziert und den Betreuern gemeldet, um die gesamte Infrastruktur zu stärken. In Gesprächen mit Maintern zeigte sich, dass das größte Problem nicht der Mangel an Berichten, sondern die zu hohe Anzahl an minderwertigen Meldungen ist. Daher zielt das System darauf ab, nur hochvertrauenswürdige Probleme aufzuzeigen, die schnell bearbeitet werden können. Um das Ökosystem zu unterstützen, wird ein Programm namens Codex for OSS eingeführt, das ausgewählten Open-Source-Maintainern kostenlosen Zugang zu ChatGPT Pro, Code-Review-Tools und Codex Security bietet. Projekte wie vLLM nutzen das Tool bereits erfolgreich in ihren Arbeitsabläufen. Die ersten Schritte dieser Initiativen zeigen vielversprechende Ergebnisse. OpenAI plant, dieses Programm in den kommenden Wochen auf mehr Maintainer auszudehnen, um deren Sicherheitspraktiken und Review-Workflows zu stärken. Für interessierte Open-Source-Betreiber steht ein direkter Kontaktweg zur Verfügung. Der breite Zugang für kommerzielle Kunden folgt in den nächsten Tagen.