OpenAI 于 2026 年 3 月 6 日发布了名为「Codex Security」的 AI 安全代理研究预览版。该系统可以自动分析软件代码,发现潜在安全漏洞,并进一步给出修复补丁建议。据介绍,在面向 GitHub 仓库的测试中,Codex Security 已经扫描了超过 120 万次提交记录,发现了 792 个严重漏洞。
AI 自动解析代码并验证漏洞可利用性
Codex Security 的核心能力,是对完整代码库进行安全分析,定位可能存在安全风险的代码位置。与传统只做静态分析的工具不同,它不仅会标记疑似漏洞,还会尝试验证这些问题是否真的可以被攻击者利用。
根据 OpenAI 的说明,Codex Security 会综合分析代码仓库中的多种信息,包括:
- 代码变更历史(commit 记录)
- 依赖关系与第三方库
- 不同模块之间的调用关系
在初步筛选出疑似漏洞后,AI 代理会构造模拟攻击场景,执行针对性的测试。通过这种方式,它能够更准确地判断哪些问题在现实环境中具有较高的被利用风险,从而减少无关告警。
测试中扫描 120 万次提交,发现 792 个严重漏洞
在正式对外公布研究预览之前,OpenAI 已经在 GitHub 上的多个开源项目中对 Codex Security 进行了测试。
在这次测试中,Codex Security 共分析了超过 120 万次代码提交,最终识别出 792 个被评估为“严重”的安全漏洞。OpenAI 表示,与传统自动化安全扫描工具相比,Codex Security 将误报(false positive)数量减少了 50% 以上。
在软件开发实践中,安全扫描工具产生大量误报一直是开发团队的痛点之一。开发者往往需要花费大量时间逐条核查告警,实际有价值的问题反而被淹没在噪音中。OpenAI 希望通过 AI 代理对漏洞进行进一步验证,降低误报率,从而减轻开发者的审查负担。
从发现问题到生成修复补丁的自动化流程
Codex Security 的另一大特点,是不仅能指出问题,还能给出具体的修复建议。
当 AI 代理确认某处代码存在可被利用的安全漏洞后,它会:
- 精确定位导致问题的代码片段;
- 结合项目上下文与编码风格,生成一份或多份修复方案;
- 以补丁或代码修改建议的形式呈现给开发者。
在理想情况下,开发者只需审阅并适当调整这些修复建议,即可完成漏洞修补。这有望显著缩短从“发现问题”到“完成修复”的整体周期,提高安全响应效率。
AI 代理驱动的持续安全审计前景
近年来,AI 在软件开发中的应用不断扩展,从代码自动补全、生成,到代码审查与重构,都已经有较为成熟的工具落地。同时,软件供应链安全、开源依赖风险等问题也愈发突出,使得“尽早发现并修复安全漏洞”成为开发流程中的关键环节。
OpenAI 表示,通过发布 Codex Security 的研究预览,希望探索一种新的安全审计模式:由 AI 代理持续、自动地对大规模代码库进行安全检查与验证。未来,这类工具有可能像单元测试、CI/CD 一样,成为软件开发流程中的常规组成部分,为开发团队提供更及时、更细致的安全防护。
