Codex Security, de OpenAI, debuta en un momento en que se recrudece la carrera por la ciberseguridad con IA con Anthropic.

OpenAI lanza Codex Security para desafiar a Claude Code Security de Anthropic

El lanzamiento se produce en medio del creciente interés por las herramientas de IA que pueden revisar proyectos de software masivos más rápido de lo que podrían hacerlo los equipos de seguridad humanos. Codex Security está diseñado para analizar repositorios, identificar vulnerabilidades, validarlas en entornos de prueba aislados y proponer soluciones que los desarrolladores pueden revisar antes de aplicarlas. El sistema crea un contexto compromiso por compromiso, lo que permite a la IA comprender cómo evoluciona el código en lugar de simplemente marcar fragmentos aislados. OpenAI escribió:

«Presentamos Codex Security. Un agente de seguridad de aplicaciones que le ayuda a proteger su código base encontrando vulnerabilidades, validándolas y proponiendo soluciones que puede revisar y parchear. Ahora, los equipos pueden centrarse en las vulnerabilidades que importan y enviar el código más rápidamente».

OpenAI afirmó que la herramienta se basa en su ecosistema Codex, un asistente de ingeniería de IA basado en la nube introducido en mayo de 2025 que ayuda a los desarrolladores a escribir código, corregir errores y proponer solicitudes de extracción. En marzo de 2026, el uso de Codex había aumentado hasta alcanzar aproximadamente 1,6 millones de usuarios semanales, según la empresa. Codex Security amplía esas capacidades a la seguridad de las aplicaciones, un segmento del sector que se estima que genera aproximadamente 20 000 millones de dólares al año.

El anuncio de OpenAI se produce al mismo tiempo que el lanzamiento de GPT-5.3 Instant y GPT-5.4. La medida también sigue al debut de Anthropic el 20 de febrero de Claude Code Security, que escanea bases de código completas y sugiere parches para las vulnerabilidades detectadas. Basada en el modelo Claude Opus 4.6, la herramienta intenta razonar sobre el software como un investigador de seguridad humano, analizando la lógica empresarial, los flujos de datos y las interacciones del sistema, en lugar de basarse únicamente en reglas de escaneo estáticas. Anthropic afirma que Claude Code Security ya ha identificado más de 500 vulnerabilidades en proyectos de software de código abierto, incluyendo problemas que habían pasado desapercibidos durante años. Actualmente, la empresa ofrece esta función en una versión preliminar de investigación para clientes empresariales y equipos, mientras que los mantenedores de código abierto pueden solicitar acceso acelerado de forma gratuita. Ambas empresas apuestan por que los sistemas de IA capaces de razonar sobre el contexto del código superarán a los escáneres de vulnerabilidades tradicionales, que a menudo generan grandes volúmenes de falsos positivos. Para abordar ese problema, Claude Code Security utiliza un sistema de verificación en varias etapas que vuelve a comprobar los resultados y asigna puntuaciones de gravedad y confianza.

Codex Security adopta un enfoque ligeramente diferente. En lugar de basarse únicamente en la inferencia del modelo, el agente valida las vulnerabilidades sospechosas dentro de entornos aislados antes de mostrar los resultados. OpenAI afirma que este proceso reduce el ruido y permite a la IA clasificar los resultados basándose en las pruebas recopiladas durante las pruebas. «Codex Security comenzó como Aardvark, lanzado el año pasado en versión beta privada», escribió OpenAI en X. La empresa añadió:

«Desde entonces, hemos mejorado significativamente la calidad de la señal, reduciendo el ruido, mejorando la precisión de la gravedad y disminuyendo los falsos positivos, de modo que los hallazgos se ajustan mejor al riesgo real».

Los desarrolladores que revisan los resultados de Codex Security pueden examinar los datos de apoyo, ver las diferencias de código para los parches sugeridos e integrar las correcciones a través de los flujos de trabajo de Github. El sistema también permite a los equipos personalizar los modelos de amenazas ajustando parámetros como la superficie de ataque, el alcance del repositorio y la tolerancia al riesgo.

Mientras que el lanzamiento de Anthropic sacudió a parte del sector de la ciberseguridad, la entrada de OpenAI ha generado hasta ahora más comentarios que pánico en el mercado. Cuando Claude Code Security debutó en febrero, varias acciones de ciberseguridad cayeron brevemente entre un 5 % y un 10 %, incluidas empresas como Crowdstrike y Palo Alto Networks, antes de recuperarse en gran medida en las sesiones bursátiles posteriores.

En ese momento, los analistas afirmaron que la venta masiva probablemente reflejaba la inquietud sobre si las herramientas de IA podrían sustituir a parte del mercado de la seguridad de las aplicaciones. Sin embargo, muchos investigadores sostienen que es más probable que las herramientas de IA complementen las plataformas de seguridad existentes en lugar de sustituirlas por completo. La detección de vulnerabilidades asistida por IA ha avanzado rápidamente en los últimos dos años, con modelos de lenguaje grandes (LLM) que participan cada vez más en tareas de investigación de ciberseguridad, como competiciones Capture-the-Flag y descubrimiento automatizado de vulnerabilidades. Estas capacidades pueden ayudar a los defensores a identificar más rápidamente las debilidades del software, pero también suscitan la preocupación de que los atacantes puedan explotar sistemas similares. Para hacer frente a esos riesgos, OpenAI lanzó el 5 de febrero la iniciativa «Trusted Access for Cyber», que proporciona a los investigadores de seguridad acreditados un acceso controlado a modelos avanzados para la investigación defensiva. Anthropic ha adoptado un enfoque similar mediante asociaciones con instituciones como el Laboratorio Nacional del Noroeste del Pacífico y programas internos de equipos rojos.

La aparición de los agentes de seguridad de IA marca un cambio hacia lo que muchos investigadores denominan «ciberseguridad agencial», en la que los sistemas autónomos analizan, prueban y corrigen continuamente las vulnerabilidades del software. Si tienen éxito, estas herramientas podrían acortar el tiempo entre el descubrimiento de una vulnerabilidad y la implementación de un parche, una de las mayores debilidades de la seguridad del software moderno.

Para los desarrolladores y los equipos de seguridad, es difícil ignorar el momento. La IA ya no se limita a escribir código, sino que ahora lo audita, lo descompone y lo corrige, a menudo en el mismo flujo de trabajo. Y ahora que OpenAI y Anthropic compiten cara a cara, es posible que la próxima ola de herramientas de ciberseguridad no llegue en forma de escáneres tradicionales, sino de agentes de IA que nunca duermen, nunca se quejan y, en el mejor de los casos, detectan los errores antes que los hackers.

Preguntas frecuentes 🤖

• ¿Qué es Codex Security de OpenAI? Codex Security es un agente de seguridad de aplicaciones basado en IA que escanea los repositorios de GitHub, valida las vulnerabilidades y propone correcciones de código.
• ¿En qué se diferencia Codex Security de los escáneres de vulnerabilidades tradicionales? El sistema utiliza el razonamiento de la IA y la validación de sandbox para analizar el contexto del código y reducir los falsos positivos.
• ¿Qué es Claude Code Security de Anthropic? Claude Code Security es una herramienta de IA competidora que escanea bases de código en busca de vulnerabilidades y sugiere parches utilizando el modelo Claude de Anthropic.
• ¿Por qué las empresas de IA están creando agentes de ciberseguridad? Los agentes de IA pueden detectar y corregir las vulnerabilidades del software más rápidamente que las herramientas tradicionales, lo que ayuda a los desarrolladores a reforzar la seguridad del código a gran escala.