OpenAI вступает в гонку кибербезопасности с ИИ для кода

Компания OpenAI представила Codex Security⁠ — искусственный интеллект для проверки кодовых баз, который обнаруживает, подтверждает и помогает устранять уязвимости в программном обеспечении. Этот запуск состоялся спустя несколько недель после того, как конкурент Anthropic анонсировал свой инструмент Claude Code Security.

Codex Security (Источник: OpenAI)

Функция доступна в режиме исследовательского предварительного просмотра через Codex Web для клиентов ChatGPT Pro, Enterprise, Business и Edu, с бесплатным доступом на ближайший месяц. Ранее известный под названием Aardvark, Codex Security был запущен в прошлом году в закрытом бета-тестировании с ограниченной группой клиентов.

Компания заявляет, что ранние внутренние внедрения выявили серьёзные уязвимости, которые были быстро устранены, а внешнее тестирование помогло улучшить процесс адаптации и обмена контекстом для достижения лучших результатов.

«За последние 30 дней Codex Security просканировал более 1,2 миллиона коммитов во внешних репозиториях нашей бета-группы, выявив 792 критических и 10 561 высокоприоритетное нарушение. Критические проблемы встречались менее чем в 0,1% проверенных коммитов, что демонстрирует способность системы выявлять проблемы, влияющие на безопасность, в больших объёмах кода, минимизируя информационный шум для проверяющих», — сообщила компания в анонсе.

OpenAI ожидает, что качество обнаружения и соотношение сигнал/шум будут продолжать улучшаться по мере роста использования.

Как это работает на практике

Используя модель угроз в качестве контекста, система ищет уязвимости и расставляет приоритеты находок на основе вероятного воздействия в реальных условиях. Вместо того чтобы полагаться только на сопоставление с шаблонами, она проверяет проблемы в изолированных средах, чтобы снизить количество ложных срабатываний.

При настройке с окружением, адаптированным под конкретный проект, инструмент тестирует потенциальные проблемы на работающей системе. Эта глубокая проверка дополнительно снижает уровень ложных срабатываний и в некоторых случаях создаёт рабочие доказательства концепции, которые помогают командам безопасности подтвердить риск и спланировать исправления.

Для подтверждённых проблем Codex Security предлагает патчи, соответствующие существующему поведению кода и архитектуре системы. Такой подход помогает командам проверять и внедрять исправления с меньшим риском регрессии.

«Пользователи могут фильтровать находки, чтобы сосредоточиться на проблемах, наиболее важных для их команды и имеющих наибольшее влияние на безопасность», — отмечает компания.

Code SecurityAI Code ReviewDevSecOpsVulnerability ScanningOpenAI Codex