OpenAI 於 3 月 6 日推出 Codex Security,引入一款由人工智慧(AI)驅動的應用程式安全代理,可掃描 Github 儲存庫中的漏洞,這距離 Anthropic 推出競爭對手 Claude Code Security 工具僅數週之隔,將 AI 驅動的程式碼防禦轉變為科技產業最新競爭戰場。
OpenAI 推出 Codex Security 以挑戰 Anthropic 的 Claude Code Security
發佈正值人們對 AI 工具的興趣日益增長之際,這些工具能夠比人類安全團隊更快地審查龐大的軟體專案。Codex Security 專為分析儲存庫、識別漏洞、在隔離的測試環境中驗證漏洞,並提出開發者可在應用前審查的修復方案而設計。該系統以提交為單位建立上下文,使 AI 能夠理解程式碼的演變過程,而非僅僅標記孤立的代碼片段。
OpenAI 寫道:
我們正在推出 Codex Security。這是一款應用程式安全代理,可幫助您透過發現漏洞、驗證漏洞並提出可供審查和修補的修復方案來保護您的程式碼庫。現在,團隊可以專注於重要的漏洞,並更快地發布程式碼。
OpenAI 表示,該工具基於其 Codex 生態系統,這是一個於 2025 年 5 月推出的基於雲端的 AI 工程助手,可協助開發人員撰寫代碼、修復錯誤並提出拉取請求。根據該公司數據,到 2026 年 3 月,Codex 的每周用戶數已攀升至約 160 萬。Codex Security 將這些功能延伸至應用程式安全領域,該行業部門估計每年可產生約 200 億美元的收入。
OpenAI 的公告是在其 發布了 GPT-5.3 Instant 和 GPT-5.4 之際發布的。此舉也緊隨 Anthropic 於 2 月 20 日 推出 Claude Code Security,該工具可掃描整個程式碼庫並為檢測到的漏洞提供建議修補方案。此工具基於 Claude Opus 4.6 模型,旨在像人類安全研究人員一樣進行推理——分析商業邏輯、資料流和系統互動,而非僅依賴靜態掃描規則。
Anthropic 表示,Claude Code Security 已經在開源軟體專案中識別出超過 500 個漏洞,其中包括多年來未被發現的問題。目前,該公司正為企業和團隊客戶提供此功能的研究預覽版,而開源維護者可免費申請快速訪問權限。
兩家公司都預期,能夠推理程式碼上下文的 AI 系統將優於傳統的漏洞掃描器,後者通常會產生大量誤報。為解決這一問題,Claude Code Security 採用多階段驗證系統,重新檢查發現的問題並分配嚴重性與可信度分數。
Codex Security 採用了一種略有不同的方法。該代理會在沙盒環境中驗證疑似漏洞,而非僅依賴模型推斷,然後才呈現結果。OpenAI 表示,此過程可減少雜訊,並讓 AI 根據測試期間收集的證據對發現的問題進行排名。
「Codex Security 最初名為 Aardvark,於去年推出私人測試版,」OpenAI 在 X 上寫道。該公司補充:
自那以來,我們顯著提升了訊號品質,減少雜訊、提高嚴重性準確度,並降低誤報率,使發現結果更貼近實際風險。
開發人員在審閱 Codex Security 的結果時,可以檢視支援資料、查看建議修補程式的程式碼差異,並透過 GitHub 工作流程整合修復方案。該系統還允許團隊透過調整攻擊面、倉庫範圍和風險容忍度等參數來自訂威脅模型。
儘管 Anthropic 的推出震動了部分網路安全領域,但 OpenAI 的進場迄今僅引發更多討論,而非市場恐慌。當 Claude Code Security 於二月推出時,包括 Crowdstrike 和 Palo Alto Networks 在內的多家網路安全股票一度下跌 5% 至 10%,但隨後交易日中大多數恢復。
當時,分析師表示,這波拋售很可能反映了市場對 AI 工具是否能 取代 應用程式安全市場部分領域的擔憂。然而,許多研究人員認為,AI 工具更有可能是補充現有的安全平台,而非完全取代它們。
過去兩年,AI輔助的漏洞檢測進展迅速,大型語言模型(LLMs)越來越多地參與網際安全研究任務,例如奪旗競賽和自動化漏洞發現。這些能力可幫助防禦者更快識別軟體弱點,但也引發了攻擊者可能利用類似系統的擔憂。
為應對這些風險,OpenAI 於 2 月 5 日推出了「Trusted Access for Cyber」計劃,為經過審核的安全研究人員提供受控訪問先進模型的權限,以進行防禦性研究。Anthropic 則透過與太平洋西北國家實驗室等機構的合作,以及內部紅隊計劃,採取了類似的方法。
AI 安全代理的出現標誌著向許多研究人員所稱的「代理式網路安全」轉變,其中自主系統會持續分析、測試和修復軟體漏洞。如果成功,此類工具可縮短漏洞發現與補丁部署之間的時間——這是現代軟體安全中最主要的弱點之一。
對於開發人員和安全團隊而言,這個時機不容忽視。AI 不再只是撰寫代碼——它現在已能審計、破解和修復代碼,通常在同一工作流程中完成。
隨著 OpenAI 和 Anthropic 現在正面競爭,下一波網路安全工具可能不會以傳統掃描器的形式出現,而是作為從不休息、從不抱怨,並理想地在駭客之前發現漏洞的 AI 代理。
常見問題 ?
- 什麼是 OpenAI 的 Codex 安全性?
Codex 安全性是一款由 AI 驅動的應用程式安全代理,可掃描 GitHub 倉儲、驗證漏洞並提出程式碼修復方案。 - Codex Security 與傳統漏洞掃描器有何不同?
該系統利用 AI 推理和沙盒驗證來分析程式碼上下文,並減少誤報。 - 什麼是 Anthropic 的 Claude Code Security?
Claude Code Security 是一款競爭性的 AI 工具,可使用 Anthropic 的 Claude 模型掃描程式碼庫中的漏洞並建議修補方案。 - 為何 AI 公司正在建立網路安全代理?
AI 代理能比傳統工具更快地偵測並修復軟體漏洞,協助開發者大規模強化程式碼安全性。
