OpenAI zet AI in voor applicatiebeveiliging met Codex Security

In dit artikel:

OpenAI heeft Codex Security aangekondigd, een AI-gestuurde tool (nu in research preview) die ontwikkelteams moet helpen kwetsbaarheden in volledige codebases sneller en nauwkeuriger te herkennen en te prioriteren. De dienst is bedoeld om het veelvoorkomende probleem van grote aantallen laagwaardige meldingen te verminderen, zodat securityteams zich kunnen richten op werkelijk risicovolle fouten.

Hoe het werkt: ontwikkelaars geven de tool toegang tot een repository; Codex Security maakt een tijdelijke kopie in een geïsoleerde container en analyseert de code met OpenAI‑modellen en een agentbenadering. In plaats van losse waarschuwingen genereert de tool eerst een project-specifiek dreigingsmodel in begrijpelijke taal dat beschrijft hoe de applicatie werkt en waar externe input of andere gevoelige punten zitten. Ontwikkelteams kunnen dat model bewerken om extra context of prioriteiten toe te voegen.

Op basis van het dreigingsmodel doorzoekt Codex Security naar kwetsbaarheden en probeert die vervolgens in een sandbox daadwerkelijk uit te buiten om te bepalen of ze realistisch misbruikbaar zijn. Niet‑reproduceerbare meldingen worden gefilterd, geprioriteerd op ernst en voorzien van concrete oplossingsvoorstellen: zowel gecorrigeerde code als een toelichting. De tool houdt logs bij van gevallen die de sandbox niet doorstaan, zodat developers later gemiste issues kunnen onderzoeken. Afhankelijk van de omvang van de codebase kan een analyse enkele dagen duren.

Achtergrond en resultaten: de technologie ontstond intern als “Aardvark” en werd later extern getest; OpenAI meldt dat de bèta het aandeel fout‑positieven met meer dan de helft verlaagde. In de afgelopen maand analyseerde Codex Security meer dan 1,2 miljoen commits, vond honderden kritieke en meer dan tienduizend hoog‑ernstige problemen, waarvan veertien zodanig dat er CVE‑nummers aan zijn toegekend. Voor kritieke bugs gold dat ze in minder dan 0,1% van de commits voorkwamen.

Context en beschikbaarheid: de lancering volgt op vergelijkbare stappen van concurrent Anthropic (Claude Code Security). OpenAI biedt via een nieuw programma ook gratis toegang tot ChatGPT Pro/Plus en Codex Security voor open‑source maintainers. De preview is beschikbaar voor klanten van ChatGPT Enterprise, Business en Edu via de Codex‑webinterface, terwijl OpenAI gebruikersfeedback verzamelt om de tool verder te verbeteren.