Codex Security 是什么？

Codex Security 是 OpenAI 推出的一款应用安全智能体，目前处于研究预览阶段。它能构建深入且针对具体项目的上下文，识别其他智能工具遗漏的复杂漏洞。通过将前沿模型推理与自动化验证相结合，它能够呈现高可信度的发现结果和可操作的修复方案，帮助团队专注于真正重要的漏洞，更快地交付安全代码。

适用人群

• 安全工程师：需要减少分类时间，专注于经过验证的高影响漏洞，而非筛选误报。
• 开发团队：希望在保障安全的前提下加快代码交付速度，通过接收上下文感知的补丁，最大程度减少回归问题。
• 注重安全的组织：使用 ChatGPT Pro、Enterprise、Business 或 Edu 版本，需要一款研究预览工具来强化代码库，抵御真实世界威胁。

主要功能

系统特定的威胁建模

Codex Security 会分析你的代码仓库，理解其安全相关结构，然后生成一个可编辑的威胁模型，描述系统的功能、信任对象以及最易受攻击的位置。该模型确保智能体始终与团队独特的上下文保持一致。

经过验证的漏洞发现

以威胁模型为上下文，它搜索漏洞并根据预期的真实影响对发现进行分类。在可能的情况下，它会在沙盒验证环境中对问题进行压力测试，以区分信号与噪声，减少误报和过度报告的严重性。

上下文感知的补丁修复

Codex Security 提出的修复方案与系统意图及周边行为保持一致，从而在提升安全性的同时最大程度减少回归问题。用户可以筛选发现结果，专注于影响最大的问题，使修复过程更安全、更易于审查。

突出特点

“通过将我们前沿模型的智能推理与自动化验证相结合，它能够提供高可信度的发现结果和可操作的修复方案，让团队专注于真正重要的漏洞。”

这种方法直接解决了大多数 AI 安全工具普遍存在的噪声问题。早期的内部部署成功发现了一个真实的 SSRF 漏洞和一个严重的跨租户认证漏洞，并在数小时内部署了补丁。在测试期间，对相同代码仓库的扫描将噪声降低了 84%，过度报告的严重性减少了 90% 以上，所有代码仓库的误报率也降低了一半。

值得一试，如果……

你是一个使用 ChatGPT Pro、Enterprise、Business 或 Edu 版本的安全或开发团队，希望摆脱噪声大、影响低的漏洞扫描器。Codex Security 尤其适合那些快速交付代码、需要一款能理解系统独特架构、在上下文中验证发现结果、并提出不会破坏现有功能的补丁的工具的团队。研究预览阶段包含下个月的免费使用，这是一个低风险的机会，可以评估智能驱动安全如何加速你的工作流程。