Codex Security, das frühere Aardvark, hat laut OpenAI im vergangenen Monat hunderte kritische Schwachstellen in getesteter Software aufgespürt. Konkret nennt das Unternehmen einen Test gegen 1,2 Millionen Commits über einen Zeitraum von 30 Tagen. Dabei seien fast 800 kritische Schwachstellen sowie mehr als 10.000 Probleme mit hohem Schweregrad identifiziert worden.

Die Funde betreffen nach Angaben von OpenAI auch weit verbreitete Open-Source-Projekte. Genannt werden unter anderem Chromium, OpenSSL, PHP, GOGS und GnuTLS.

Das Werkzeug arbeitet in mehreren Schritten: Zunächst analysiert es Code-Repositorys, um den Kontext des Systems zu erfassen, und erstellt daraus ein Bedrohungsmodell. Dieses richtet sich auf die Rolle des Systems, die als vertrauenswürdig eingestuften Komponenten und die Angriffsflächen. Auf Basis dieses Modells sucht Codex nach Schwachstellen, bewertet sie nach ihrer möglichen Auswirkung in der Praxis und schlägt anschließend Korrekturen vor.

Codex Security befindet sich derzeit in einer Forschungsvorschau, wurde aber bereits seit dem vergangenen Jahr in einer privaten Beta-Phase erprobt, unter anderem durch Netgear. Verfügbar ist es nun für Kunden der Tarife ChatGPT Pro, Enterprise, Business und Edu, wobei die Nutzung im kommenden Monat kostenlos ist.

Die Ankündigung erfolgt kurz nachdem Claude mit Claude Code Security einen eigenen KI-Schwachstellenscanner vorgestellt hatte. Dessen Vorstellung ließ den Angaben zufolge die Aktienkurse großer Cybersicherheitsunternehmen einbrechen. KI-gestützte Schwachstellenscanner sind allerdings nicht neu: GitHub bietet solche Funktionen bereits seit Jahren an, und auch Google verweist auf bedeutende Fortschritte in diesem Bereich.