OpenAI hat Codex Security gestartet, einen KI-gestützten Sicherheitsagenten, der Schwachstellen automatisch erkennt, validiert und Fixes vorschlägt. In der Beta-Phase wurden über 1,2 Millionen Code-Commits gescannt und 10.561 kritische Sicherheitsprobleme identifiziert.
OpenAI hat am Freitag mit dem Rollout von Codex Security begonnen – einem künstlichen Intelligenz-System, das Sicherheitslücken aufspüren, überprüfen und automatisch beheben soll. Das Tool steht zunächst als Research Preview für ChatGPT Pro-, Enterprise-, Business- und Edu-Kunden zur Verfügung und kann einen Monat lang kostenlos genutzt werden.
Das System arbeitet dabei deutlich präziser als bisherige Tools: Es analysiert die spezifische Projektstruktur, um komplexe Schwachstellen zu identifizieren, die andere Sicherheitstools übersehen würden. Dabei reduziert es gezielt das Rauschen durch weniger relevante Meldungen.
Codex Security basiert auf Aardvark, das OpenAI im Oktober 2025 vorgestellt hatte. Die Weiterentwicklung nutzt die erweiterten Fähigkeiten der neuesten OpenAI-Modelle und kombiniert diese mit automatisierter Validierung, um Falschmeldungen zu minimieren.
Die bisherigen Resultate sind beeindruckend: In den letzten 30 Tagen scannte das System über 1,2 Millionen Commits aus verschiedenen Open-Source-Repositories und identifizierte dabei 792 kritische und 10.561 hochgradig kritische Befunde. Darunter waren Lücken in bekannten Projekten wie OpenSSH, GnuTLS, GOGS, libssh, PHP und Chromium.
Das Tool arbeitet in drei Phasen: Zunächst analysiert es das Repository, um die sicherheitsrelevante Architektur zu verstehen und ein bearbeitbares Bedrohungsmodell zu erstellen. Dann nutzt es diesen Kontext, um Sicherheitslücken zu identifizieren und diese im Sandbox-Umfeld zu validieren. Abschließend schlägt der Agent Lösungen vor, die zum Systemverhalten passen und einfach zu überprüfen und einzuspielen sind.
Ein wichtiger Fortschritt liegt in der Reduktion von Falschmeldungen: Die Quote sank in bisherigen Tests um über 50 Prozent. Wenn Codex Security mit einer projektspezifischen Umgebung konfiguriert wird, kann es Probleme direkt im laufenden System validieren – was die Zuverlässigkeit weiter erhöht.
Die Ankündigung kommt wenige Wochen nach dem Start von Claude Code Security durch Anthropic, einem ähnlichen KI-Tool zur automatisierten Schwachstellenerkennung.
Quelle: The Hacker News