Az OpenAI Codex Security bemutatkozik, ahogy felforrósodik az MI-alapú kiberbiztonsági verseny az Anthropickal

Az OpenAI elindítja a Codex Securityt, hogy kihívást intézzen az Anthropic Claude Code Securityjének

A bejelentés egyre növekvő érdeklődés közepette érkezik az olyan MI-eszközök iránt, amelyek hatalmas szoftverprojektek átvizsgálását sokkal gyorsabban képesek elvégezni, mint ahogyan azt az emberi biztonsági csapatok valaha tudnák. A Codex Securityt úgy tervezték, hogy elemezze a repozitóriumokat, azonosítsa a sebezhetőségeket, elkülönített tesztkörnyezetekben validálja azokat, és javítási javaslatokat tegyen, amelyeket a fejlesztők az alkalmazás előtt átnézhetnek. A rendszer commitról commitra építi fel a kontextust, lehetővé téve az MI számára, hogy megértse, miként fejlődik a kód, ahelyett hogy csupán elszigetelt kódrészleteket jelölne meg.

Az OpenAI ezt írta:

“Bemutatjuk a Codex Securityt. Egy alkalmazásbiztonsági ügynököt, amely segít a kódbázisod védelmében sebezhetőségek felkutatásával, azok validálásával és olyan javítások javaslásával, amelyeket átnézhetsz és befoltozhatsz. Mostantól a csapatok azokra a sebezhetőségekre koncentrálhatnak, amelyek számítanak, és gyorsabban szállíthatnak kódot.”

Az OpenAI szerint az eszköz a Codex ökoszisztémájukra épül, egy felhőalapú MI mérnöki asszisztensre, amelyet 2025 májusában mutattak be, és amely segít a fejlesztőknek kódot írni, hibákat javítani és pull requesteket javasolni. A vállalat szerint 2026 márciusára a Codex használata nagyjából 1,6 millió heti felhasználóra nőtt. A Codex Security ezeket a képességeket kiterjeszti az alkalmazásbiztonság területére, egy olyan iparági szegmensre, amelynek éves bevételeit nagyjából 20 milliárd dollárra becsülik.

Az OpenAI bejelentése azzal egy időben érkezik, hogy kiadta a GPT-5.3 Instantot és a GPT-5.4-et is. A lépés az Anthropic február 20-i debütálását is követi: a Claude Code Securityt, amely teljes kódbázisokat vizsgál át, és javításokat javasol az észlelt sebezhetőségekre. A Claude Opus 4.6 modellre építve az eszköz úgy próbál a szoftverről következtetni, mint egy emberi biztonsági kutató—az üzleti logika, az adatáramlások és a rendszerinterakciók elemzésével, nem pusztán statikus szkennelési szabályokra támaszkodva.

Az Anthropic közölte, hogy a Claude Code Security már több mint 500 sebezhetőséget azonosított nyílt forráskódú szoftverprojektekben, köztük olyan problémákat is, amelyek évekig észrevétlenek maradtak. A vállalat jelenleg kutatási előnézetként kínálja a funkciót vállalati és csapatos ügyfeleknek, miközben a nyílt forráskódú karbantartók ingyenesen kérhetnek gyorsított hozzáférést.

Mindkét cég arra fogad, hogy a kódkontextusról következtetni képes MI-rendszerek felülmúlják a hagyományos sebezhetőségszkennereket, amelyek gyakran nagy mennyiségű téves riasztást generálnak. Ennek a problémának a kezelésére a Claude Code Security egy többlépcsős ellenőrzési rendszert használ, amely újraellenőrzi a találatokat, és súlyossági, illetve megbízhatósági pontszámokat rendel hozzájuk.

A Codex Security kissé eltérő megközelítést alkalmaz. Ahelyett, hogy pusztán a modell következtetésére támaszkodna, az ügynök a gyanított sebezhetőségeket sandboxolt környezetekben validálja, mielőtt az eredményeket megjelenítené. Az OpenAI szerint ez a folyamat csökkenti a zajt, és lehetővé teszi, hogy az MI a tesztelés során gyűjtött bizonyítékok alapján rangsorolja a találatokat.

“A Codex Security Aardvarkként indult, amelyet tavaly zárt bétában indítottunk,” írta az OpenAI az X-en. A cég hozzátette:

“Azóta jelentősen javítottuk a jelminőséget, csökkentettük a zajt, javítottuk a súlyossági pontosságot és mérsékeltük a téves pozitív találatokat, így a megállapítások jobban igazodnak a valós kockázathoz.”

A Codex Security eredményeit áttekintő fejlesztők megvizsgálhatják a támogató adatokat, megtekinthetik a javasolt javításokhoz tartozó kóddiffeket, és a Github munkafolyamatain keresztül integrálhatják a javításokat. A rendszer azt is lehetővé teszi a csapatok számára, hogy a fenyegetési modelleket testre szabják olyan paraméterek módosításával, mint a támadási felület, a repozitórium hatóköre és a kockázattűrés.

Míg az Anthropic bejelentése megrázta a kiberbiztonsági szektor egyes részeit, az OpenAI belépése eddig inkább több beszédtémát, mintsem piaci pánikot váltott ki. Amikor a Claude Code Security februárban debütált, több kiberbiztonsági részvény rövid időre 5% és 10% közötti mértékben esett, köztük olyan vállalatoké, mint a Crowdstrike és a Palo Alto Networks, majd a későbbi kereskedési szakaszokban nagyrészt visszakorrigált.

Akkoriban az elemzők szerint az eladási hullám valószínűleg azt a szorongást tükrözte, hogy az MI-eszközök képesek lehetnek-e kiváltani az alkalmazásbiztonsági piac egyes részeit. Sok kutató ugyanakkor amellett érvel, hogy az MI-eszközök inkább kiegészítik a meglévő biztonsági platformokat, semmint hogy teljesen leváltanák azokat.

Az MI-vel támogatott sebezhetőség-észlelés az elmúlt két évben gyorsan fejlődött: a nagy nyelvi modellek (LLM-ek) egyre gyakrabban vesznek részt kiberbiztonsági kutatási feladatokban, például Capture-the-Flag versenyeken és automatizált sebezhetőség-felfedezésben. Ezek a képességek segíthetnek a védőknek gyorsabban azonosítani a szoftvergyengeségeket—ugyanakkor aggodalmakat is felvetnek, hogy a támadók potenciálisan hasonló rendszereket használhatnak ki.

E kockázatok kezelésére az OpenAI február 5-én elindította a “Trusted Access for Cyber” kezdeményezést, amely ellenőrzött biztonsági kutatóknak biztosít ellenőrzött hozzáférést fejlett modellekhez védelmi célú kutatáshoz. Az Anthropic hasonló megközelítést alkalmaz olyan intézményekkel kötött partnerségeken keresztül, mint a Pacific Northwest National Laboratory, valamint belső red-team programok révén.

Az MI biztonsági ügynökök megjelenése elmozdulást jelez afelé, amit sok kutató „ügynökalapú kiberbiztonságnak” nevez, ahol autonóm rendszerek folyamatosan elemzik, tesztelik és orvosolják a szoftveres sebezhetőségeket. Ha sikeresek, az ilyen eszközök lerövidíthetik a sebezhetőség felfedezése és a javítás telepítése közötti időt—ami a modern szoftverbiztonság egyik legnagyobb gyengesége.

A fejlesztők és a biztonsági csapatok számára az időzítést nehéz figyelmen kívül hagyni. Az MI már nem csak kódot ír—most már auditálja is, feltöri is, és meg is javítja, gyakran ugyanabban a munkafolyamatban.

És mivel az OpenAI és az Anthropic immár közvetlenül egymással versenyez, a kiberbiztonsági eszközök következő hulláma talán nem hagyományos szkennerekként érkezik, hanem olyan MI-ügynökökként, amelyek sosem alszanak, sosem panaszkodnak, és ideális esetben a hackerek előtt kapják el a hibákat.

GYIK 🤖

• Mi az az OpenAI Codex Security?
  A Codex Security egy MI-alapú alkalmazásbiztonsági ügynök, amely GitHub-repozitóriumokat vizsgál át, validálja a sebezhetőségeket, és kódjavításokat javasol.
• Miben különbözik a Codex Security a hagyományos sebezhetőségszkennerektől?
  A rendszer MI-alapú következtetést és sandboxos validálást használ a kódkontextus elemzésére és a téves pozitív találatok csökkentésére.
• Mi az Anthropic Claude Code Security?
  A Claude Code Security egy versengő MI-eszköz, amely sebezhetőségek után kutatva vizsgálja a kódbázisokat, és az Anthropic Claude modelljét használva javításokat javasol.
• Miért építenek az MI-cégek kiberbiztonsági ügynököket?
  Az MI-ügynökök a hagyományos eszközöknél gyorsabban képesek szoftveres sebezhetőségeket észlelni és javítani, segítve a fejlesztőket a kódbiztonság nagy léptékű megerősítésében.