OpenAI a lancé Codex Security, un agent de sécurité applicative, en version de recherche le 13 mai 2024. Destinée aux entreprises et aux communautés de logiciels open source, cette solution vise à résoudre la saturation des équipes de sécurité face aux faux positifs et aux vulnérabilités mineures qui ralentissent les processus de développement. Codex Security se distingue en construisant une compréhension contextuelle profonde de chaque projet pour identifier des failles complexes que les outils traditionnels négligent souvent. Anciennement appelé Aardvark, le projet a débuté l'année dernière par un beta privé restreint. Cette phase a permis de valider l'efficacité de l'outil sur des cas critiques, tels qu'une faille de type SSRF et des problèmes d'authentification multi-locataires, corrigés par l'équipe de sécurité interne en quelques heures. Les retours des testeurs externes ont permis d'affiner la façon dont l'IA intègre les spécificités des produits et des architectures logicielles. Les indicateurs de performance montrent une amélioration significative : le bruit inutile a été réduit de 84 %, les rapports de sévérité excessifs ont diminué de plus de 90 %, et le taux de faux positifs a chuté de 50 %. Ces résultats démontrent une meilleure alignment entre la criticité signalée et les risques réels, permettant aux développeurs de se concentrer sur les menaces véritablement dangereuses. Fondé sur les modèles de pointe d'OpenAI et l'agent Codex, le système intègre la découverte, la validation et la correction des vulnérabilités directement dans le contexte spécifique du système. Il est conçu pour apprendre continuellement des retours des utilisateurs ; lorsqu'un développeur ajuste la criticité d'une alerte, l'agent affine son modèle de menace pour améliorer la précision de ses futures analyses. Cette capacité d'apprentissage adaptatif permet d'ajuster la qualité des résultats en fonction de la posture de risque unique de chaque organisation. Sur les trente derniers jours de la phase bêta, Codex Security a analysé plus de 1,2 million de modifications de code sur des dépôts externes. Au cours de cette période, il a identifié 792 vulnérabilités critiques et plus de 10 500 de haute sévérité. Il est notable que les problèmes critiques concernaient moins de 0,1 % des modifications analysées, prouvant la capacité du système à extraire des informations de sécurité vitales d'immenses volumes de code tout en minimisant la fatigue d'analyse pour les revuesurs. OpenAI reconnaît également l'importance des logiciels open source qui constituent la fondation de l'écosystème technologique actuel. Le projet vise à réduire le fardeau des mainteneurs qui subissent souvent une avalanche de rapports peu fiables. Plutôt que de générer des alertes spéculatives, Codex Security priorise les découvertes à haute confiance, actionnables rapidement. Une première cohorte de mainteneurs, incluant des projets majeurs comme vLLM, a déjà commencé à intégrer l'outil dans leur flux de travail habituel. Le programme Codex pour l'open source (OSS), offrant un accès gratuit aux fonctionnalités de sécurité, est en cours d'élargissement pour supporter davantage de projets. L'accès à Codex Security est désormais disponible via la version web de Codex pour les abonnés ChatGPT Enterprise, Business et Éducation, avec une utilisation gratuite pendant le premier mois. La disponibilité s'étendra progressivement à tous les clients concernés dans les jours à venir. Les documents officiels fournissent des instructions détaillées pour la mise en place et l'intégration de l'agent au sein des équipes de développement.