Unter den gemeldeten Schwachstellen befinden sich nach Angaben von OpenAI Funde in verschiedenen Open-Source-Projekten, darunter OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP und Chromium.

Laut dem Unternehmen nutzt die aktuelle Version des Sicherheitsagenten die Schlussfolgerungsfähigkeiten seiner Spitzenmodelle und kombiniert sie mit automatisierter Validierung, um das Risiko von Fehlalarmen zu senken und umsetzbare Korrekturen zu liefern. Wiederholte Scans derselben Repositorys über einen längeren Zeitraum hätten eine steigende Präzision und sinkende Fehlalarmraten gezeigt – letztere seien über alle Repositorys hinweg um mehr als 50 Prozent gefallen.

In einer Stellungnahme gegenüber The Hacker News erklärte OpenAI, Codex Security solle das Verhältnis von relevanten zu irrelevanten Meldungen verbessern, indem die Schwachstellensuche im Systemkontext verankert und die Funde vor der Anzeige validiert würden.

Der Agent arbeitet dabei in drei Schritten. Zunächst analysiert er ein Repository, um die sicherheitsrelevante Struktur des Projekts zu erfassen, und erzeugt ein bearbeitbares Bedrohungsmodell, das festhält, was das System tut und wo es am stärksten exponiert ist. Auf dieser Grundlage identifiziert Codex Security anschließend Schwachstellen und stuft die Funde nach ihrer tatsächlichen Auswirkung ein. Die markierten Probleme werden danach in einer Sandbox-Umgebung unter Druck getestet, um sie zu bestätigen.

“Wenn Codex Security mit einer auf Ihr Projekt zugeschnittenen Umgebung konfiguriert ist, kann es potenzielle Probleme direkt im Kontext des laufenden Systems validieren”, erklärte OpenAI. Diese tiefere Validierung könne Fehlalarme weiter reduzieren und das Erstellen funktionierender Machbarkeitsnachweise ermöglichen, was Sicherheitsteams stärkere Belege und einen klareren Weg zur Behebung verschaffe.

Im letzten Schritt schlägt der Agent Korrekturen vor, die möglichst gut zum Systemverhalten passen, um Regressionen zu vermeiden und die Überprüfung und Bereitstellung zu erleichtern.

Codex Security erscheint wenige Wochen nachdem Anthropic mit Claude Code Security ein Werkzeug vorgestellt hatte, mit dem Nutzer eine Codebasis auf Schwachstellen prüfen und sich Patches vorschlagen lassen können.