Codex Security może zmienić pracę każdego programisty. OpenAI chce przebić Anthropic

Czy nam się to podoba czy nie, rozwój narzędzi opartych na sztucznej inteligencji zmienia sposób tworzenia i zabezpieczania oprogramowania, a jednym z najnowszych przykładów tej transformacji jest agent bezpieczeństwa opracowany przez OpenAI. Firma ogłosiła zmianę nazwy swojego projektu badawczego Aardvark na Codex Security oraz rozpoczęcie publicznych testów systemu wśród wybranych użytkowników platformy ChatGPT.

Nowe narzędzie zostało zaprojektowane jako autonomiczny agent analizujący kod źródłowy aplikacji. Jego zadaniem pozostaje wykrywanie luk w zabezpieczeniach oraz proponowanie poprawek dopasowanych do konkretnego projektu programistycznego.

Od Aardvarka do Codex Security

Pierwsza wersja projektu pojawiła się w ubiegłym roku pod nazwą Aardvark. Narzędzie działało w zamkniętej wersji testowej z udziałem niewielkiej grupy klientów. System opierał się na modelu językowym GPT‑5 i został zaprojektowany jako agent zdolny do samodzielnego przeszukiwania repozytoriów kodu.

Programiści mogli wskazać narzędziu bazę kodu, którą system analizował w sposób ciągły. Agent identyfikował potencjalne luki bezpieczeństwa i przygotowywał sugestie poprawek. Po roku testów projekt przeszedł znaczącą ewolucję. OpenAI zdecydowało się zmienić nazwę systemu na Codex Security i rozszerzyć dostęp do narzędzia dla większej grupy użytkowników.

Testy wśród użytkowników ChatGPT

Codex Security został udostępniony w wersji testowej w interfejsie webowym platformy Codex. Dostęp otrzymali użytkownicy kilku planów abonamentowych ChatGPT w tym ChatGPT Pro, ChatGPT Team, ChatGPT Enterprise oraz ChatGPT Edu.

Firma zapowiedziała możliwość bezpłatnego korzystania z Codex Security w okresie testowym trwającym do przyszłego miesiąca. Ten etap ma pozwolić na zebranie opinii od użytkowników oraz dalsze dopracowanie systemu.

Problem bezpieczeństwa w erze kodu generowanego przez AI

Wprowadzenie agentów AI do procesu tworzenia oprogramowania zmieniło dynamikę pracy zespołów developerskich. Narzędzia generujące kod potrafią teraz tworzyć ogromne fragmenty programów w krótkim czasie. Ciągle wzrastające tempo produkcji kodu utrudnia ręczne audyty bezpieczeństwa. Zespoły odpowiedzialne za analizę luk w aplikacjach muszą przeglądać znacznie większą liczbę zmian w repozytoriach projektów.

Drugim problemem pozostaje jakość istniejących narzędzi analitycznych. Systemy skanowania bezpieczeństwa często generują dużą liczbę ostrzeżeń o niewielkim znaczeniu lub wskazują potencjalne błędy, które w praktyce nie stanowią zagrożenia, przez co rezultacie programiści spędzają wiele godzin na weryfikowaniu sygnałów, które nie prowadzą do realnych poprawek.

Automatyczne podejście do analizy kodu

Codex Security wykorzystuje mechanizm rozumowania agentowego połączony z automatyczną walidacją wykrytych problemów. System analizuje kod, identyfikuje potencjalne luki oraz proponuje rozwiązania dopasowane do struktury konkretnego repozytorium.

Takie podejście ma pozwolić na eliminowanie błędów bezpieczeństwa już na etapie pracy nad projektem. Agent może także analizować kod w sposób ciągły, reagując na kolejne zmiany wprowadzane przez programistów.

OpenAI podkreśla, że kluczową rolę odgrywa kontekst projektu dostarczany przez użytkowników, a w trakcie testów firma pracowała nad usprawnieniem sposobu przekazywania informacji o architekturze aplikacji oraz zależnościach między modułami.

Wyniki testów i poprawa dokładności

Doświadczenia zdobyte podczas zamkniętej fazy testowej pozwoliły OpenAI wprowadzić istotne zmiany w działaniu systemu. Firma informuje o wyraźnym spadku liczby nieistotnych alertów generowanych przez narzędzie. W jednym z przykładów wielokrotne skanowanie tego samego repozytorium zmniejszyło poziom szumu informacyjnego o ponad osiemdziesiąt procent w porównaniu z pierwszą wersją systemu.

OpenAI podaje, że liczba fałszywych alarmów spadła o ponad połowę. Jednocześnie zmniejszyła się liczba zgłoszeń oznaczanych jako krytyczne bez realnego uzasadnienia.

Zmiany te pozwalają zespołom bezpieczeństwa koncentrować się na najważniejszych zagrożeniach pojawiających się w kodzie aplikacji.

 W najbliższych latach podobne systemy mogą stać się standardowym elementem środowisk programistycznych. Automatyczna analiza bezpieczeństwa może towarzyszyć każdej zmianie wprowadzanej w kodzie projektu. OpenAI zapowiada dalszy rozwój systemu oraz stopniowe zwiększanie jego dokładności wraz z kolejnymi iteracjami modelu i rosnącą liczbą analizowanych repozytoriów.