OpenAI推出AI資安代理人Codex Security　可掃描GitHub程式庫自動找漏洞並提出修補

OpenAI上周五（3/6）發表Codex Security，這是一款用於應用程式安全的AI代理人，目前處於研究預覽階段。該工具可自動分析程式碼、找出潛在安全漏洞並提出修補建議。OpenAI強調，Codex Security可理解整個系統脈絡並驗證漏洞，以降低誤報並提高漏洞偵測品質，目標是讓AI能協助完成部分原本需要資安工程師進行的程式碼安全審查工作。

Codex Security目前透過Codex Web運作，主要掃描所連接的GitHub程式庫。系統會逐一分析程式碼提交（Commit），建立程式庫的安全脈絡並找出可能的漏洞。目前官方文件僅提到支援GitHub儲存庫，並未宣布支援其他程式碼託管平臺。

在運作流程上，Codex Security大致分為三個階段。首先，系統會分析程式碼庫並建立專案專屬的威脅模型（Threat Model），以理解系統架構、信任邊界與可能的攻擊面。接著，AI模型會依據這些脈絡搜尋潛在漏洞，並依其對實際系統的影響程度進行分類。對於偵測到的問題，系統可在隔離的沙盒環境中進行驗證，以確認漏洞是否真實存在並降低誤報。最後，Codex Security會提出修補建議與程式碼修改方案，協助開發者快速修復漏洞。

OpenAI指出，許多既有應用程式安全工具主要依賴靜態分析或漏洞特徵比對，因此常產生大量低影響或誤報的漏洞警示，導致資安團隊必須花費大量時間進行人工篩選。Codex Security則利用AI模型理解整體程式架構，並在可能的情況下驗證漏洞是否可被利用，以提高漏洞報告的可信度並減少無效警示。

Codex Security最初名為Aardvark，曾於少數客戶中進行私有測試。在早期部署中，系統曾發現SSRF漏洞與跨租戶驗證漏洞等安全問題。隨著測試持續進行，其漏洞偵測品質也逐漸提升，例如在同一程式庫的掃描中，誤報噪音降低84%，漏洞嚴重性過度評估的比例也減少超過90%。

OpenAI表示，在最近30天的測試中，Codex Security掃描超過120萬筆程式碼提交，並發現792個重大漏洞與超過1萬個高嚴重性漏洞，而重大漏洞僅出現在不到0.1%的提交中。

目前Codex Security已開始逐步提供給ChatGPT Pro、Enterprise、Business與Edu用戶使用，推出後首月可免費使用，但OpenAI尚未公布正式版本推出時間。