راه‌اندازی Codex Security اوپن‌ای‌آی هم‌زمان با داغ‌تر شدن رقابت امنیت سایبری مبتنی بر هوش مصنوعی با آنتروپیک

اوپن‌ای‌آی Codex Security را برای به چالش کشیدن Claude Code Security انتروپیک راه‌اندازی کرد

این عرضه در بحبوحه‌ی افزایش علاقه به ابزارهای هوش مصنوعی انجام می‌شود که می‌توانند پروژه‌های نرم‌افزاری عظیم را سریع‌تر از آن‌چه تیم‌های امنیتی انسانی هرگز بتوانند، بررسی کنند. Codex Security برای تحلیل مخازن، شناسایی آسیب‌پذیری‌ها، اعتبارسنجی آن‌ها در محیط‌های آزمایشی ایزوله و پیشنهاد اصلاحاتی طراحی شده است که توسعه‌دهندگان می‌توانند پیش از اعمال، آن‌ها را بررسی کنند. این سیستم به‌صورت «کامیت به کامیت» زمینه را می‌سازد و به هوش مصنوعی اجازه می‌دهد بفهمد کد چگونه تکامل می‌یابد، نه این‌که صرفاً قطعه‌کدهای جداافتاده را علامت‌گذاری کند.

اوپن‌ای‌آی نوشت:

“ما Codex Security را معرفی می‌کنیم. یک عامل امنیت کاربردی که با یافتن آسیب‌پذیری‌ها، اعتبارسنجی آن‌ها و پیشنهاد اصلاحاتی که می‌توانید بررسی و وصله کنید، به امن‌سازی پایگاه کد شما کمک می‌کند. اکنون تیم‌ها می‌توانند روی آسیب‌پذیری‌های مهم تمرکز کنند و کد را سریع‌تر منتشر کنند.”

اوپن‌ای‌آی گفت این ابزار بر اکوسیستم Codex آن بنا شده است؛ یک دستیار مهندسی هوش مصنوعی مبتنی بر ابر که در مه ۲۰۲۵ معرفی شد و به توسعه‌دهندگان کمک می‌کند کد بنویسند، باگ‌ها را رفع کنند و پول‌ریکوئست پیشنهاد دهند. بنا به اعلام شرکت، تا مارس ۲۰۲۶ استفاده از Codex به حدود ۱.۶ میلیون کاربر هفتگی رسیده بود. Codex Security این قابلیت‌ها را به حوزه امنیت کاربردی گسترش می‌دهد؛ بخشی از صنعت که برآورد می‌شود سالانه حدود ۲۰ میلیارد دلار درآمد ایجاد کند.

اعلام اوپن‌ای‌آی در حالی منتشر می‌شود که این شرکت GPT-5.3 Instant را نیز منتشر کرده و GPT-5.4 را هم عرضه کرده است. این اقدام همچنین پس از عرضه ابزار Claude Code Security در ۲۰ فوریه توسط انتروپیک صورت می‌گیرد؛ ابزاری که کل پایگاه‌های کد را اسکن می‌کند و برای آسیب‌پذیری‌های شناسایی‌شده وصله پیشنهاد می‌دهد. این ابزار که بر مدل Claude Opus 4.6 ساخته شده، می‌کوشد مانند یک پژوهشگر امنیتی انسانی درباره نرم‌افزار استدلال کند—با تحلیل منطق کسب‌وکار، جریان‌های داده و تعاملات سیستم، به‌جای اتکا صرف به قواعد اسکن ایستا.

انتروپیک گفت Claude Code Security تاکنون بیش از ۵۰۰ آسیب‌پذیری را در پروژه‌های نرم‌افزار متن‌باز شناسایی کرده است، از جمله مسائلی که سال‌ها از چشم‌ها پنهان مانده بودند. این شرکت در حال حاضر این قابلیت را در قالب یک پیش‌نمایش پژوهشی برای مشتریان سازمانی و تیمی ارائه می‌کند، در حالی که نگه‌دارندگان متن‌باز می‌توانند برای دسترسی تسریع‌شده به‌صورت رایگان درخواست بدهند.

هر دو شرکت شرط بسته‌اند که سامانه‌های هوش مصنوعیِ قادر به استدلال درباره زمینه کد، از اسکنرهای سنتی آسیب‌پذیری بهتر عمل خواهند کرد؛ اسکنرهایی که اغلب حجم زیادی مثبت کاذب تولید می‌کنند. برای حل این مشکل، Claude Code Security از یک سامانه راستی‌آزمایی چندمرحله‌ای استفاده می‌کند که یافته‌ها را دوباره بررسی کرده و به آن‌ها امتیاز شدت و اطمینان اختصاص می‌دهد.

Codex Security رویکردی کمی متفاوت دارد. به‌جای اتکا صرف به استنتاج مدل، این عامل، آسیب‌پذیری‌های مشکوک را پیش از نمایش نتایج، در محیط‌های سندباکس‌شده اعتبارسنجی می‌کند. اوپن‌ای‌آی گفت این فرایند نویز را کاهش می‌دهد و به هوش مصنوعی اجازه می‌دهد یافته‌ها را بر اساس شواهد گردآوری‌شده در طول آزمون رتبه‌بندی کند.

اوپن‌ای‌آی در X نوشت: “Codex Security به‌عنوان Aardvark آغاز شد و سال گذشته در بتای خصوصی راه‌اندازی شد.” این شرکت افزود:

“از آن زمان، ما کیفیت سیگنال را به‌طور قابل توجهی بهبود داده‌ایم؛ نویز را کاهش داده‌ایم، دقت شدت را بهتر کرده‌ایم و مثبت‌های کاذب را پایین آورده‌ایم، تا یافته‌ها بهتر با ریسک دنیای واقعی هم‌راستا شوند.”

توسعه‌دهندگانی که نتایج Codex Security را بررسی می‌کنند می‌توانند داده‌های پشتیبان را مشاهده کنند، دیف‌های کد را برای وصله‌های پیشنهادی ببینند و اصلاحات را از طریق گردش‌کارهای گیت‌هاب یکپارچه کنند. این سیستم همچنین به تیم‌ها اجازه می‌دهد با تنظیم پارامترهایی مانند سطح حمله، دامنه مخزن و میزان تحمل ریسک، مدل‌های تهدید را سفارشی‌سازی کنند.

در حالی که عرضه انتروپیک بخش‌هایی از حوزه امنیت سایبری را دچار تلاطم کرد، ورود اوپن‌ای‌آی تا اینجا بیشتر از وحشت بازار، سروصدا ایجاد کرده است. زمانی که Claude Code Security در فوریه معرفی شد، چندین سهم امنیت سایبری برای مدت کوتاهی بین ۵٪ تا ۱۰٪ افت کردند، از جمله شرکت‌هایی مانند Crowdstrike و Palo Alto Networks، پیش از آن‌که در جلسات معاملاتی بعدی تا حد زیادی بازیابی شوند.

در آن زمان، تحلیلگران گفتند این فروش احتمالاً بازتاب نگرانی درباره این بود که آیا ابزارهای هوش مصنوعی می‌توانند جایگزین بخش‌هایی از بازار امنیت کاربردی شوند یا نه. با این حال، بسیاری از پژوهشگران استدلال می‌کنند ابزارهای هوش مصنوعی به احتمال بیشتری مکمل پلتفرم‌های امنیتی موجود خواهند بود تا این‌که به‌طور کامل جایگزین آن‌ها شوند.

تشخیص آسیب‌پذیری با کمک هوش مصنوعی طی دو سال گذشته به‌سرعت پیشرفت کرده است و مدل‌های زبانی بزرگ (LLMها) به‌طور فزاینده‌ای در وظایف پژوهشی امنیت سایبری مانند مسابقات Capture-the-Flag و کشف خودکار آسیب‌پذیری مشارکت می‌کنند. این قابلیت‌ها می‌توانند به مدافعان کمک کنند ضعف‌های نرم‌افزاری را سریع‌تر شناسایی کنند—اما هم‌زمان نگرانی‌هایی را نیز ایجاد می‌کنند که مهاجمان ممکن است بتوانند از سامانه‌های مشابه بهره‌برداری کنند.

برای مواجهه با این ریسک‌ها، اوپن‌ای‌آی در ۵ فوریه ابتکار «Trusted Access for Cyber» را راه‌اندازی کرد که به پژوهشگران امنیتیِ اعتبارسنجی‌شده دسترسی کنترل‌شده به مدل‌های پیشرفته را برای پژوهش‌های دفاعی فراهم می‌کند. انتروپیک نیز از طریق همکاری با نهادهایی مانند Pacific Northwest National Laboratory و برنامه‌های رد تیم داخلی رویکرد مشابهی اتخاذ کرده است.

ظهور عامل‌های امنیتی هوش مصنوعی نشان‌دهنده تغییر به سمت چیزی است که بسیاری از پژوهشگران آن را «امنیت سایبری عامل‌محور» می‌نامند؛ جایی که سامانه‌های خودمختار به‌طور پیوسته آسیب‌پذیری‌های نرم‌افزار را تحلیل، آزمون و اصلاح می‌کنند. اگر موفق باشند، چنین ابزارهایی می‌توانند فاصله زمانی میان کشف آسیب‌پذیری و استقرار وصله را کوتاه کنند—یکی از بزرگ‌ترین ضعف‌ها در امنیت نرم‌افزار مدرن.

برای توسعه‌دهندگان و تیم‌های امنیتی، زمان‌بندی را نمی‌توان نادیده گرفت. هوش مصنوعی دیگر فقط کدنویسی نمی‌کند—اکنون در همان گردش‌کار، آن را ممیزی می‌کند، می‌شکند و اصلاح می‌کند.

و حالا که اوپن‌ای‌آی و انتروپیک رو‌در‌رو با هم رقابت می‌کنند، موج بعدی ابزارهای امنیت سایبری ممکن است نه به شکل اسکنرهای سنتی، بلکه به‌صورت عامل‌های هوش مصنوعی از راه برسد که هرگز نمی‌خوابند، هرگز شکایت نمی‌کنند و—در حالت ایده‌آل—پیش از هکرها باگ‌ها را شکار می‌کنند.

پرسش‌های متداول 🤖

• Codex Security اوپن‌ای‌آی چیست؟
  Codex Security یک عامل امنیت کاربردی مبتنی بر هوش مصنوعی است که مخازن GitHub را اسکن می‌کند، آسیب‌پذیری‌ها را اعتبارسنجی می‌کند و اصلاحات کد را پیشنهاد می‌دهد.
• Codex Security چه تفاوتی با اسکنرهای سنتی آسیب‌پذیری دارد؟
  این سیستم از استدلال هوش مصنوعی و اعتبارسنجی در سندباکس استفاده می‌کند تا زمینه کد را تحلیل کند و مثبت‌های کاذب را کاهش دهد.
• Claude Code Security انتروپیک چیست؟
  Claude Code Security یک ابزار رقیبِ هوش مصنوعی است که پایگاه‌های کد را برای یافتن آسیب‌پذیری‌ها اسکن می‌کند و با استفاده از مدل Claude انتروپیک وصله‌هایی پیشنهاد می‌دهد.
• چرا شرکت‌های هوش مصنوعی در حال ساخت عامل‌های امنیت سایبری هستند؟
  عامل‌های هوش مصنوعی می‌توانند آسیب‌پذیری‌های نرم‌افزار را سریع‌تر از ابزارهای سنتی شناسایی و رفع کنند و به توسعه‌دهندگان کمک کنند امنیت کد را در مقیاس تقویت کنند.