OpenAI’s Codex Security debütiert, während sich der Wettlauf um KI-Cybersicherheit mit Anthropic verschärft

OpenAI bringt Codex Security auf den Markt, um Anthropics Claude Code Security herauszufordern

Die Veröffentlichung erfolgt inmitten eines wachsenden Interesses an KI-Tools, die massive Softwareprojekte schneller durchkämmen können, als es menschliche Sicherheitsteams jemals könnten. Codex Security wurde entwickelt, um Repositorys zu analysieren, Schwachstellen zu identifizieren, diese in isolierten Testumgebungen zu validieren und Korrekturen vorzuschlagen, die Entwickler vor der Anwendung überprüfen können. Das System baut Kontext Commit für Commit auf, sodass die KI versteht, wie sich Code entwickelt, anstatt einfach nur isolierte Schnipsel zu markieren. OpenAI schrieb:

„Wir stellen Codex Security vor. Ein Anwendungssicherheitsagent, der Ihnen hilft, Ihre Codebasis zu sichern, indem er Schwachstellen findet, diese validiert und Korrekturen vorschlägt, die Sie überprüfen und patchen können. Jetzt können sich Teams auf die wichtigen Schwachstellen konzentrieren und Code schneller ausliefern.“

OpenAI erklärte, dass das Tool auf seinem Codex-Ökosystem aufbaut, einem cloudbasierten KI-Engineering-Assistenten, der im Mai 2025 eingeführt wurde und Entwicklern hilft, Code zu schreiben, Fehler zu beheben und Pull-Anfragen vorzuschlagen. Bis März 2026 war die Nutzung von Codex laut Angaben des Unternehmens auf rund 1,6 Millionen wöchentliche Nutzer gestiegen. Codex Security erweitert diese Funktionen auf die Anwendungssicherheit, ein Industriesegment, das schätzungsweise jährlich rund 20 Milliarden US-Dollar generiert.

Die Ankündigung von OpenAI erfolgt zeitgleich mit der Veröffentlichung von GPT-5.3 Instant und GPT-5.4. Dieser Schritt folgt auch auf die Vorstellung von Claude Code Security durch Anthropic am 20. Februar, das gesamte Codebasen scannt und Patches für erkannte Schwachstellen vorschlägt. Das auf dem Modell Claude Opus 4.6 basierende Tool versucht, Software wie ein menschlicher Sicherheitsforscher zu analysieren, indem es Geschäftslogik, Datenflüsse und Systeminteraktionen analysiert, anstatt sich ausschließlich auf statische Scan-Regeln zu verlassen. Anthropic gab an, dass Claude Code Security bereits mehr als 500 Schwachstellen in Open-Source-Softwareprojekten identifiziert hat, darunter auch Probleme, die jahrelang unbemerkt geblieben waren. Das Unternehmen bietet die Funktion derzeit in einer Forschungsvorschau für Unternehmens- und Teamkunden an, während Open-Source-Betreuer einen beschleunigten Zugang kostenlos beantragen können. Beide Unternehmen setzen darauf, dass KI-Systeme, die in der Lage sind, über den Kontext von Code nachzudenken, herkömmliche Schwachstellenscanner übertreffen werden, die oft eine große Anzahl von Fehlalarmen generieren. Um dieses Problem zu beheben, verwendet Claude Code Security ein mehrstufiges Verifizierungssystem, das die Ergebnisse erneut überprüft und Schwere- und Konfidenzwerte zuweist.

Codex Security verfolgt einen etwas anderen Ansatz. Anstatt sich ausschließlich auf Modellinferenz zu verlassen, validiert der Agent verdächtige Schwachstellen in Sandbox-Umgebungen, bevor er Ergebnisse anzeigt. OpenAI erklärte, dass dieser Prozess Störsignale reduziert und es der KI ermöglicht, die Ergebnisse auf der Grundlage der während des Tests gesammelten Beweise zu bewerten. „Codex Security begann als Aardvark und wurde letztes Jahr als private Beta-Version gestartet“, schrieb OpenAI auf X. Das Unternehmen fügte hinzu:

„Seitdem haben wir die Signalqualität erheblich verbessert, das Rauschen reduziert, die Genauigkeit der Schweregrade verbessert und die Anzahl der Fehlalarme verringert, sodass die Ergebnisse besser mit den tatsächlichen Risiken übereinstimmen.”

Entwickler, die die Ergebnisse von Codex Security überprüfen, können unterstützende Daten einsehen, Code-Unterschiede für vorgeschlagene Patches anzeigen und Korrekturen über Github-Workflows integrieren. Das System ermöglicht es Teams außerdem, Bedrohungsmodelle anzupassen, indem sie Parameter wie Angriffsfläche, Repository-Umfang und Risikotoleranz anpassen.

Während die Markteinführung von Anthropic Teile des Cybersicherheitssektors erschütterte, hat der Einstieg von OpenAI bislang eher für Gesprächsstoff als für Panik auf dem Markt gesorgt. Als Claude Code Security im Februar auf den Markt kam, fielen mehrere Cybersicherheitsaktien kurzzeitig um 5 bis 10 %, darunter Unternehmen wie Crowdstrike und Palo Alto Networks, bevor sie sich in den folgenden Handelssitzungen weitgehend erholten.

Analysten sagten damals, der Ausverkauf spiegele wahrscheinlich die Unsicherheit darüber wider, ob KI-Tools Teile des Marktes für Anwendungssicherheit ersetzen könnten. Viele Forscher argumentieren jedoch, dass KI-Tools eher bestehende Sicherheitsplattformen ergänzen als sie vollständig ersetzen werden. Die KI-gestützte Erkennung von Schwachstellen hat in den letzten zwei Jahren rasante Fortschritte gemacht, wobei große Sprachmodelle (LLMs) zunehmend an Cybersicherheitsforschungsaufgaben wie Capture-the-Flag-Wettbewerben und der automatisierten Erkennung von Schwachstellen beteiligt sind. Diese Fähigkeiten können Verteidigern helfen, Schwachstellen in Software schneller zu identifizieren – sie wecken jedoch auch Bedenken, dass Angreifer ähnliche Systeme potenziell ausnutzen könnten. Um diesen Risiken zu begegnen, startete OpenAI am 5. Februar die Initiative „Trusted Access for Cyber”, die geprüften Sicherheitsforschern kontrollierten Zugang zu fortschrittlichen Modellen für defensive Forschung gewährt. Anthropic hat einen ähnlichen Ansatz durch Partnerschaften mit Institutionen wie dem Pacific Northwest National Laboratory und internen Red-Team-Programmen verfolgt.

Das Aufkommen von KI-Sicherheitsagenten markiert eine Verlagerung hin zu dem, was viele Forscher als „agente Cybersicherheit” bezeichnen, bei der autonome Systeme kontinuierlich Software-Schwachstellen analysieren, testen und beheben. Wenn dies gelingt, könnten solche Tools die Zeit zwischen der Entdeckung einer Schwachstelle und der Bereitstellung eines Patches verkürzen – eine der größten Schwächen der modernen Softwaresicherheit.

Für Entwickler und Sicherheitsteams ist der Zeitpunkt kaum zu übersehen. KI schreibt nicht mehr nur Code, sondern überprüft, zerlegt und repariert ihn, oft im selben Arbeitsablauf. Und da OpenAI und Anthropic nun direkt miteinander konkurrieren, könnte die nächste Generation von Cybersicherheitstools nicht in Form traditioneller Scanner kommen, sondern in Form von KI-Agenten, die niemals schlafen, sich nie beschweren und im Idealfall Fehler finden, bevor Hacker dies tun.

FAQ 🤖

• Was ist Codex Security von OpenAI? Codex Security ist ein KI-gestützter Anwendungssicherheitsagent, der GitHub-Repositorys scannt, Schwachstellen validiert und Code-Korrekturen vorschlägt.
• Wie unterscheidet sich Codex Security von herkömmlichen Schwachstellenscannern? Das System nutzt KI-Argumentation und Sandbox-Validierung, um den Code-Kontext zu analysieren und Fehlalarme zu reduzieren.
• Was ist Claude Code Security von Anthropic? Claude Code Security ist ein konkurrierendes KI-Tool, das Codebasen auf Schwachstellen scannt und mithilfe des Claude-Modells von Anthropic Patches vorschlägt.
• Warum entwickeln KI-Unternehmen Cybersicherheits-Agenten? KI-Agenten können Software-Schwachstellen schneller als herkömmliche Tools erkennen und beheben und helfen Entwicklern so, die Codesicherheit in großem Maßstab zu verbessern.