OpenAI 近日正式发布 Codex Security，一款应用安全 Agent 工具。在研究测试的前30天内，它已在真实代码库中标记出超过 11,000 个高危和严重漏洞（其中792个严重漏洞、10,561个高危问题）。该工具旨在自动发现、验证并帮助修复软件仓库中的漏洞，显著缓解应用安全团队长期面临的“警报疲劳”问题。

OpenAI 在官方博客中强调，Codex Security 并非简单的静态扫描器，而更像一位经验丰富的安全研究员：它会深入研究整个代码库、绘制潜在攻击路径，并以易于开发者接受的补丁形式提出修复建议。该工具专为大规模运行而设计，能建立对项目的完整上下文理解，只聚焦于真正可被利用的风险。

上图：AI驱动的安全Agent扫描代码库并发现漏洞的示意（代码洪流与智能检测）。

惊人扫描成果：专有与开源项目双管齐下

在首个测试周期中，Codex Security 扫描了外部仓库超过 120万次提交，识别出 792个严重漏洞 和 10,561个高危问题。这些发现覆盖广泛的真实代码库，且误报率相对较低——严重问题仅出现在不到0.1%的扫描提交中。

Netgear（网件）产品安全主管 Chandan Nandakumaraiah 表示：“Netgear 很高兴参与早期访问计划，结果超出预期。Codex Security 无缝集成到我们强大的安全开发生态系统中，显著增强了审查流程的速度和深度。”

除了专有仓库，该工具还在多个广泛使用的开源项目中发现漏洞，包括 OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP 和 Chromium 等。目前已为此分配 14个 CVE 编号。OpenAI 重点介绍了其中13个高影响开源漏洞，涉及路径遍历、拒绝服务（DoS）和认证绕过等问题。

这些成果是 OpenAI “Codex for OSS” 计划的一部分。该计划为开源维护者提供免费的 Codex 工具和安全审查支持，公司计划在未来几周进一步扩展，吸引更多维护者加入。

上图：Codex Security 扫描规模与漏洞发现成果数据可视化（120万次提交 → 792严重 + 10k+ 高危）。

从 “Aardvark” 到智能安全研究员

Codex Security 源自 OpenAI 早期内部项目 Aardvark（一个AI驱动的漏洞研究 Agent）。Aardvark 的核心设计理念是让 AI 像人类安全研究员一样工作：阅读代码、测试可能的利用路径，并推理攻击者可能的入侵方式。

其工作流程包括：

• 分析仓库完整历史，建立识别入口点和信任边界的威胁模型；
• 探索可能导致敏感结果的攻击路径；
• 在沙箱环境中尝试复现问题，仅在确认可利用后才报告；
• 生成可直接审查并合并的修复补丁。

Codex Security 还能从用户反馈中持续学习：当你调整发现的严重性时，它会优化威胁模型，提高后续扫描的精确度，并更好地适应你的架构和风险态势。

上图：Codex Security（前身为 Aardvark）的 Agent 工作流程示意图（威胁建模 → 路径探索 → 沙箱验证 → 补丁生成）。

上图：AI安全Agent模拟人类研究员进行漏洞研究与修复的架构流程示例。

当前可用性

自 3月6日 起，Codex Security 以研究预览版形式向 ChatGPT Pro、Enterprise、Business 和 Edu 客户开放，通过 Codex 网页提供 30天免费使用。用户可直接在界面中启动扫描，获得清晰的漏洞报告和修复建议。

OpenAI 表示，Codex Security 是应对现代软件安全挑战的重要一步——在AI生成代码和攻击手段日益复杂的时代，它帮助防御者实现规模化优势，同时让人类安全专家专注于更高价值的决策。

总结：Codex Security 以 Agentic 方式重塑应用安全流程，既大幅提升漏洞发现效率，又有效降低误报噪声。它与 Anthropic 等竞品的安全工具共同标志着“AI辅助安全审查”时代的加速到来。对于企业与开源维护者而言，这无疑是一个值得立即尝试的强大新武器。

优化后文章结构更清晰、数据更精准、节奏更紧凑，适合技术博客、LinkedIn 或企业安全分享。如果你需要调整图片数量、风格、添加具体 CVE 示例，或修改语气/长度，请随时告诉我！