Le Codex Security d'OpenAI fait son apparition alors que la course à la cybersécurité IA avec Anthropic s'intensifie

OpenAI lance Codex Security pour concurrencer Claude Code Security d'Anthropic

Cette sortie intervient dans un contexte d'intérêt croissant pour les outils d'IA capables de passer au crible des projets logiciels massifs plus rapidement que ne pourraient le faire des équipes de sécurité humaines. Codex Security est conçu pour analyser les référentiels, identifier les vulnérabilités, les valider dans des environnements de test isolés et proposer des correctifs que les développeurs peuvent examiner avant de les appliquer. Le système construit le contexte commit par commit, ce qui permet à l'IA de comprendre comment le code évolue plutôt que de simplement signaler des extraits isolés. OpenAI a écrit :

« Nous présentons Codex Security. Un agent de sécurité des applications qui vous aide à sécuriser votre base de code en trouvant les vulnérabilités, en les validant et en proposant des correctifs que vous pouvez examiner et appliquer. Désormais, les équipes peuvent se concentrer sur les vulnérabilités importantes et livrer le code plus rapidement. »

OpenAI a déclaré que cet outil s'appuie sur son écosystème Codex, un assistant d'ingénierie IA basé sur le cloud lancé en mai 2025 qui aide les développeurs à écrire du code, à corriger des bogues et à proposer des pull requests. En mars 2026, l'utilisation de Codex avait atteint environ 1,6 million d'utilisateurs hebdomadaires, selon la société. Codex Security étend ces capacités à la sécurité des applications, un segment industriel estimé à environ 20 milliards de dollars par an.

L'annonce d'OpenAI intervient alors que la société a également lancé GPT-5.3 Instant et GPT-5.4. Cette initiative fait également suite au lancement par Anthropic, le 20 février, de Claude Code Security, qui analyse l'ensemble des bases de code et suggère des correctifs pour les vulnérabilités détectées. Basé sur le modèle Claude Opus 4.6, cet outil tente de raisonner sur les logiciels comme le ferait un chercheur en sécurité humain, en analysant la logique métier, les flux de données et les interactions du système plutôt que de se fier uniquement à des règles d'analyse statiques. Anthropic a déclaré que Claude Code Security avait déjà identifié plus de 500 vulnérabilités dans des projets de logiciels open source, y compris des problèmes qui étaient passés inaperçus pendant des années. La société propose actuellement cette fonctionnalité en avant-première à ses clients professionnels et aux équipes, tandis que les responsables open source peuvent demander un accès accéléré gratuit. Les deux sociétés parient que les systèmes d'IA capables de raisonner sur le contexte du code seront plus performants que les scanners de vulnérabilité traditionnels, qui génèrent souvent un grand nombre de faux positifs. Pour remédier à ce problème, Claude Code Security utilise un système de vérification en plusieurs étapes qui revérifie les résultats et attribue des scores de gravité et de confiance.

Codex Security adopte une approche légèrement différente. Au lieu de se fier uniquement à l'inférence du modèle, l'agent valide les vulnérabilités suspectées dans des environnements sandboxés avant de présenter les résultats. OpenAI a déclaré que ce processus réduit le bruit et permet à l'IA de classer les résultats en fonction des preuves recueillies pendant les tests. « Codex Security a débuté sous le nom d'Aardvark, lancé l'année dernière en version bêta privée », a écrit OpenAI sur X. La société a ajouté :

« Depuis lors, nous avons considérablement amélioré la qualité du signal, réduit le bruit, amélioré la précision de la gravité et diminué les faux positifs, afin que les résultats correspondent mieux aux risques réels. »

Les développeurs qui examinent les résultats de Codex Security peuvent consulter les données à l'appui, visualiser les différences de code pour les correctifs suggérés et intégrer les corrections via les workflows Github. Le système permet également aux équipes de personnaliser les modèles de menaces en ajustant des paramètres tels que la surface d'attaque, la portée du référentiel et la tolérance au risque.

Alors que le lancement d'Anthropic a secoué une partie du secteur de la cybersécurité, l'arrivée d'OpenAI a jusqu'à présent suscité plus de discussions que de panique sur les marchés. Lorsque Claude Code Security a fait ses débuts en février, plusieurs actions du secteur de la cybersécurité ont brièvement chuté de 5 à 10 %, notamment celles de sociétés telles que Crowdstrike et Palo Alto Networks, avant de se redresser largement lors des séances de bourse suivantes.

À l'époque, les analystes avaient déclaré que cette chute reflétait probablement l'inquiétude quant à la possibilité que les outils d'IA remplacent une partie du marché de la sécurité des applications. Cependant, de nombreux chercheurs affirment que les outils d'IA sont plus susceptibles de compléter les plateformes de sécurité existantes que de les remplacer complètement. La détection des vulnérabilités assistée par l'IA a progressé rapidement au cours des deux dernières années, les grands modèles linguistiques (LLM) participant de plus en plus à des tâches de recherche en cybersécurité telles que les concours Capture-the-Flag et la découverte automatisée des vulnérabilités. Ces capacités peuvent aider les défenseurs à identifier plus rapidement les faiblesses des logiciels, mais elles soulèvent également des inquiétudes quant à la possibilité que des attaquants exploitent des systèmes similaires. Pour faire face à ces risques, OpenAI a lancé le 5 février une initiative intitulée « Trusted Access for Cyber » (Accès fiable pour la cybersécurité) qui offre aux chercheurs en sécurité agréés un accès contrôlé à des modèles avancés pour la recherche défensive. Anthropic a adopté une approche similaire en nouant des partenariats avec des institutions telles que le Pacific Northwest National Laboratory et des programmes internes de type « red team ».

L'émergence des agents de sécurité IA marque un tournant vers ce que de nombreux chercheurs appellent la « cybersécurité agentielle », où des systèmes autonomes analysent, testent et corrigent en permanence les vulnérabilités logicielles. En cas de succès, ces outils pourraient réduire le délai entre la découverte d'une vulnérabilité et le déploiement d'un correctif, l'une des plus grandes faiblesses de la sécurité logicielle moderne.

Pour les développeurs et les équipes de sécurité, le moment est difficile à ignorer. L'IA ne se contente plus d'écrire du code, elle l'audite, le casse et le répare, souvent dans le même flux de travail. Et avec OpenAI et Anthropic désormais en concurrence directe, la prochaine vague d'outils de cybersécurité pourrait ne pas prendre la forme de scanners traditionnels, mais d'agents IA qui ne dorment jamais, ne se plaignent jamais et, idéalement, détectent les bugs avant les pirates.

FAQ 🤖

• Qu'est-ce que Codex Security d'OpenAI ? Codex Security est un agent de sécurité des applications alimenté par l'IA qui analyse les référentiels GitHub, valide les vulnérabilités et propose des corrections de code.
• En quoi Codex Security diffère-t-il des scanners de vulnérabilité traditionnels ? Le système utilise le raisonnement IA et la validation par sandbox pour analyser le contexte du code et réduire les faux positifs.
• Qu'est-ce que Claude Code Security d'Anthropic ? Claude Code Security est un outil d'IA concurrent qui analyse les bases de code à la recherche de vulnérabilités et suggère des correctifs à l'aide du modèle Claude d'Anthropic.
• Pourquoi les entreprises d'IA développent-elles des agents de cybersécurité ? Les agents IA peuvent détecter et corriger les vulnérabilités logicielles plus rapidement que les outils traditionnels, aidant ainsi les développeurs à renforcer la sécurité du code à grande échelle.