OpenAI vừa giới thiệu Codex Security, một AI Agent tự động phát hiện, xác minh và đề xuất cách khắc phục lỗ hổng trong mã nguồn. Công cụ hiện được phát hành dưới dạng bản thử nghiệm cho người dùng ChatGPT Pro, Enterprise, Business và Edu thông qua nền tảng Codex Web, với thời gian sử dụng miễn phí trong tháng đầu.
Codex Security được phát triển dựa trên nền tảng Aardvark – dự án OpenAI từng thử nghiệm riêng vào cuối năm 2025 nhằm hỗ trợ các nhóm phát triển và bảo mật phát hiện lỗ hổng ở quy mô lớn. Công cụ mới có khả năng phân tích sâu bối cảnh của từng dự án, giúp phát hiện các lỗ hổng phức tạp mà nhiều công cụ tự động khác có thể bỏ sót, đồng thời giảm các cảnh báo sai từ những lỗi không đáng kể.
Trong 30 ngày thử nghiệm gần đây, Codex Security đã quét hơn 1,2 triệu commit từ nhiều kho mã nguồn mở và phát hiện 792 lỗ hổng mức Critical cùng 10.561 lỗ hổng mức High. Các phát hiện này liên quan đến nhiều dự án phổ biến như OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP và Chromium.
Theo OpenAI, hệ thống hoạt động theo ba bước chính. Đầu tiên, AI phân tích cấu trúc hệ thống của repository để xây dựng mô hình đe dọa và xác định các điểm dễ bị tấn công. Sau đó, các lỗ hổng tiềm ẩn sẽ được phát hiện và phân loại dựa trên mức độ ảnh hưởng thực tế. Cuối cùng, các phát hiện này được kiểm chứng trong môi trường sandbox để giảm tối đa cảnh báo sai (false positive).
Sau khi xác nhận lỗ hổng, Codex Security sẽ đề xuất các bản vá phù hợp với kiến trúc và hành vi của hệ thống, giúp nhóm phát triển dễ dàng rà soát và triển khai khắc phục mà không gây lỗi phát sinh.
Sự xuất hiện của Codex Security cho thấy xu hướng AI đang trở thành công cụ quan trọng trong DevSecOps, giúp tự động hóa quá trình kiểm tra bảo mật phần mềm. Trước đó không lâu, Anthropic cũng đã ra mắt Claude Code Security với mục tiêu tương tự: hỗ trợ quét mã nguồn và đề xuất bản vá cho các lỗ hổng bảo mật.
