Il Codex Security di OpenAI debutta mentre si infiamma la corsa alla sicurezza informatica basata sull'intelligenza artificiale con Anthropic

OpenAI lancia Codex Security per sfidare Claude Code Security di Anthropic

Il lancio arriva in un momento di crescente interesse per gli strumenti di IA in grado di setacciare enormi progetti software più velocemente di quanto potrebbero mai fare i team di sicurezza umani. Codex Security è progettato per analizzare i repository, identificare le vulnerabilità, convalidarle in ambienti di test isolati e proporre correzioni che gli sviluppatori possono esaminare prima di applicarle. Il sistema costruisce il contesto commit per commit, consentendo all'IA di comprendere come si evolve il codice piuttosto che limitarsi a segnalare frammenti isolati. OpenAI ha scritto:

"Stiamo introducendo Codex Security. Un agente di sicurezza delle applicazioni che ti aiuta a proteggere il tuo codice individuando le vulnerabilità, convalidandole e proponendo correzioni che puoi esaminare e applicare. Ora i team possono concentrarsi sulle vulnerabilità che contano e distribuire il codice più rapidamente".

OpenAI ha affermato che lo strumento si basa sul suo ecosistema Codex, un assistente di ingegneria AI basato su cloud introdotto nel maggio 2025 che aiuta gli sviluppatori a scrivere codice, correggere bug e proporre richieste di pull. Secondo l'azienda, entro marzo 2026 l'utilizzo di Codex era salito a circa 1,6 milioni di utenti settimanali. Codex Security estende queste capacità alla sicurezza delle applicazioni, un segmento di settore che si stima generi circa 20 miliardi di dollari all'anno.

L'annuncio di OpenAI arriva in concomitanza con il rilascio di GPT-5.3 Instant e GPT-5.4. La mossa segue anche il debutto di Claude Code Security da parte di Anthropic il 20 febbraio, che esegue la scansione di interi codici base e suggerisce patch per le vulnerabilità rilevate. Basato sul modello Claude Opus 4.6, lo strumento cerca di ragionare sul software come un ricercatore di sicurezza umano, analizzando la logica di business, i flussi di dati e le interazioni di sistema piuttosto che affidarsi esclusivamente a regole di scansione statiche. Anthropic ha affermato che Claude Code Security ha già identificato più di 500 vulnerabilità in progetti di software open source, comprese questioni che erano passate inosservate per anni. L'azienda offre attualmente la funzione in anteprima di ricerca per i clienti aziendali e i team, mentre i gestori open source possono richiedere l'accesso gratuito accelerato. Entrambe le aziende scommettono che i sistemi di IA in grado di ragionare sul contesto del codice supereranno i tradizionali scanner di vulnerabilità, che spesso generano grandi volumi di falsi positivi. Per affrontare questo problema, Claude Code Security utilizza un sistema di verifica in più fasi che ricontrolla i risultati e assegna punteggi di gravità e affidabilità.

Codex Security adotta un approccio leggermente diverso. Invece di affidarsi esclusivamente all'inferenza del modello, l'agente convalida le vulnerabilità sospette all'interno di ambienti sandbox prima di mostrare i risultati. OpenAI ha affermato che il processo riduce il rumore e consente all'IA di classificare i risultati in base alle prove raccolte durante i test. "Codex Security è nato come Aardvark, lanciato lo scorso anno in versione beta privata", ha scritto OpenAI su X. L'azienda ha aggiunto:

"Da allora, abbiamo migliorato significativamente la qualità del segnale, riducendo il rumore, migliorando l'accuratezza della gravità e diminuendo i falsi positivi, in modo che i risultati siano più in linea con i rischi reali".

Gli sviluppatori che esaminano i risultati di Codex Security possono esaminare i dati di supporto, visualizzare le differenze di codice per le patch suggerite e integrare le correzioni attraverso i flussi di lavoro di Github. Il sistema consente inoltre ai team di personalizzare i modelli di minaccia regolando parametri quali la superficie di attacco, l'ambito del repository e la tolleranza al rischio.

Mentre il lancio di Anthropic ha scosso parte del settore della sicurezza informatica, l'ingresso di OpenAI ha finora prodotto più chiacchiere che panico sul mercato. Quando Claude Code Security ha debuttato a febbraio, diversi titoli legati alla sicurezza informatica hanno registrato un calo temporaneo tra il 5% e il 10%, tra cui aziende come Crowdstrike e Palo Alto Networks, prima di recuperare ampiamente nelle successive sessioni di negoziazione.

All'epoca, gli analisti affermarono che il selloff rifletteva probabilmente l'ansia riguardo alla possibilità che gli strumenti di IA potessero sostituire parti del mercato della sicurezza delle applicazioni. Molti ricercatori, tuttavia, sostengono che gli strumenti di IA siano più propensi a integrare le piattaforme di sicurezza esistenti piuttosto che sostituirle completamente. Il rilevamento delle vulnerabilità assistito dall'IA ha registrato rapidi progressi negli ultimi due anni, con modelli linguistici di grandi dimensioni (LLM) sempre più coinvolti in attività di ricerca sulla sicurezza informatica, come le competizioni Capture-the-Flag e la scoperta automatizzata delle vulnerabilità. Queste capacità possono aiutare i difensori a identificare più rapidamente i punti deboli del software, ma sollevano anche preoccupazioni sul fatto che gli aggressori potrebbero potenzialmente sfruttare sistemi simili. Per affrontare questi rischi, OpenAI ha lanciato il 5 febbraio l'iniziativa "Trusted Access for Cyber", che fornisce a ricercatori di sicurezza verificati un accesso controllato a modelli avanzati per la ricerca difensiva. Anthropic ha adottato un approccio simile attraverso partnership con istituzioni come il Pacific Northwest National Laboratory e programmi interni di red team.

L'emergere degli agenti di sicurezza AI segna un passaggio verso quella che molti ricercatori chiamano "cybersecurity agentica", in cui sistemi autonomi analizzano, testano e correggono continuamente le vulnerabilità del software. Se avranno successo, tali strumenti potrebbero ridurre il tempo che intercorre tra l'individuazione delle vulnerabilità e l'implementazione delle patch, uno dei maggiori punti deboli della sicurezza del software moderno.

Per gli sviluppatori e i team di sicurezza, il momento è difficile da ignorare. L'IA non si limita più a scrivere codice, ma ora lo controlla, lo rompe e lo ripara, spesso nello stesso flusso di lavoro. E con OpenAI e Anthropic ora in competizione diretta, la prossima ondata di strumenti di sicurezza informatica potrebbe arrivare non sotto forma di scanner tradizionali, ma di agenti di IA che non dormono mai, non si lamentano mai e, idealmente, individuano i bug prima degli hacker.

FAQ 🤖

• Cos'è Codex Security di OpenAI? Codex Security è un agente di sicurezza delle applicazioni basato sull'intelligenza artificiale che scansiona i repository GitHub, convalida le vulnerabilità e propone correzioni al codice.
• In che modo Codex Security si differenzia dai tradizionali scanner di vulnerabilità? Il sistema utilizza il ragionamento AI e la convalida sandbox per analizzare il contesto del codice e ridurre i falsi positivi.
• Cos'è Claude Code Security di Anthropic? Claude Code Security è uno strumento AI concorrente che esegue la scansione dei codici alla ricerca di vulnerabilità e suggerisce patch utilizzando il modello Claude di Anthropic.
• Perché le aziende di intelligenza artificiale stanno sviluppando agenti di sicurezza informatica? Gli agenti di intelligenza artificiale sono in grado di rilevare e correggere le vulnerabilità del software più rapidamente rispetto agli strumenti tradizionali, aiutando gli sviluppatori a rafforzare la sicurezza del codice su larga scala.