Debut Keselamatan Codex OpenAI sebagai Perlumbaan Keselamatan Siber AI dengan Anthropic Semakin Hangat

OpenAI Melancarkan Codex Security untuk Mencabar Claude Code Security Anthropic

Pelancaran ini hadir di tengah-tengah minat yang semakin meningkat terhadap alat AI yang mampu menyisir projek perisian berskala besar dengan lebih pantas daripada pasukan keselamatan manusia. Codex Security direka untuk menganalisis repositori, mengenal pasti kerentanan, mengesahkannya dalam persekitaran ujian terpencil, dan mencadangkan pembaikan yang boleh disemak oleh pembangun sebelum diterapkan. Sistem ini membina konteks mengikut komit demi komit, membolehkan AI memahami bagaimana kod berkembang dan bukannya sekadar menandakan cebisan terasing.

OpenAI menulis:

“Kami memperkenalkan Codex Security. Ejen keselamatan aplikasi yang membantu anda melindungi pangkalan kod anda dengan mencari kerentanan, mengesahkannya, dan mencadangkan pembaikan yang boleh anda semak dan tampal. Kini, pasukan boleh menumpukan pada kerentanan yang penting dan menghantar kod dengan lebih pantas.”

OpenAI berkata alat ini dibina berasaskan ekosistem Codex, pembantu kejuruteraan AI berasaskan awan yang diperkenalkan pada Mei 2025 untuk membantu pembangun menulis kod, membetulkan pepijat, dan mencadangkan pull request. Menjelang Mac 2026, penggunaan Codex telah meningkat kepada kira-kira 1.6 juta pengguna mingguan, menurut syarikat itu. Codex Security meluaskan keupayaan tersebut ke dalam keselamatan aplikasi, segmen industri yang dianggarkan menjana kira-kira $20 bilion setahun.

Pengumuman OpenAI hadir ketika ia turut melancarkan GPT-5.3 Instant dan GPT-5.4. Langkah ini juga menyusuli debut Claude Code Security oleh Anthropic pada 20 Feb, yang mengimbas keseluruhan pangkalan kod dan mencadangkan tampalan bagi kerentanan yang dikesan. Dibina berasaskan model Claude Opus 4.6, alat itu cuba menaakul tentang perisian seperti penyelidik keselamatan manusia—menganalisis logik perniagaan, aliran data, dan interaksi sistem, bukannya hanya bergantung pada peraturan pengimbasan statik.

Anthropic berkata Claude Code Security telah mengenal pasti lebih daripada 500 kerentanan merentasi projek perisian sumber terbuka, termasuk isu yang tidak disedari selama bertahun-tahun. Syarikat itu kini menawarkan ciri tersebut dalam pratonton penyelidikan untuk pelanggan perusahaan dan pasukan, manakala penyelenggara sumber terbuka boleh memohon akses dipercepatkan secara percuma.

Kedua-dua syarikat bertaruh bahawa sistem AI yang mampu menaakul konteks kod akan mengatasi pengimbas kerentanan tradisional, yang sering menghasilkan jumlah positif palsu yang besar. Untuk menangani masalah itu, Claude Code Security menggunakan sistem pengesahan berbilang peringkat yang menyemak semula penemuan serta memberikan skor keterukan dan keyakinan.

Codex Security mengambil pendekatan yang sedikit berbeza. Daripada bergantung semata-mata pada inferens model, ejen itu mengesahkan kerentanan yang disyaki dalam persekitaran kotak pasir sebelum memaparkan hasil. OpenAI berkata proses itu mengurangkan hingar dan membolehkan AI menyusun kedudukan penemuan berdasarkan bukti yang dikumpul semasa ujian.

“Codex Security bermula sebagai Aardvark, dilancarkan tahun lalu dalam beta peribadi,” tulis OpenAI di X. Syarikat itu menambah:

“Sejak itu, kami telah meningkatkan kualiti isyarat dengan ketara, mengurangkan hingar, meningkatkan ketepatan keterukan, dan menurunkan positif palsu, supaya penemuan lebih selari dengan risiko dunia sebenar.”

Pembangun yang menyemak keputusan Codex Security boleh meneliti data sokongan, melihat perbezaan kod (code diff) untuk tampalan yang dicadangkan, dan mengintegrasikan pembaikan melalui aliran kerja Github. Sistem ini juga membolehkan pasukan menyesuaikan model ancaman dengan melaraskan parameter seperti permukaan serangan, skop repositori, dan toleransi risiko.

Walaupun pelancaran Anthropic menggegarkan sebahagian sektor keselamatan siber, kemasukan OpenAI setakat ini lebih banyak mencetuskan perbualan berbanding panik pasaran. Apabila Claude Code Security muncul pada Februari, beberapa saham keselamatan siber seketika jatuh antara 5% hingga 10%, termasuk syarikat seperti Crowdstrike dan Palo Alto Networks, sebelum sebahagian besarnya pulih dalam sesi dagangan seterusnya.

Pada ketika itu, penganalisis berkata penjualan tersebut berkemungkinan mencerminkan kebimbangan sama ada alat AI boleh menggantikan sebahagian pasaran keselamatan aplikasi. Namun ramai penyelidik berpendapat bahawa alat AI lebih berkemungkinan melengkapkan platform keselamatan sedia ada daripada menggantikannya sepenuhnya.

Pengesanan kerentanan berbantukan AI telah maju dengan pantas sejak dua tahun lalu, dengan model bahasa besar (LLM) semakin banyak terlibat dalam tugas penyelidikan keselamatan siber seperti pertandingan Capture-the-Flag dan penemuan kerentanan automatik. Keupayaan ini boleh membantu pihak pertahanan mengenal pasti kelemahan perisian dengan lebih cepat—namun ia juga menimbulkan kebimbangan bahawa penyerang berpotensi mengeksploitasi sistem yang serupa.

Untuk menangani risiko tersebut, OpenAI melancarkan inisiatif “Trusted Access for Cyber” pada 5 Feb yang menyediakan penyelidik keselamatan yang ditapis dengan akses terkawal kepada model maju untuk penyelidikan defensif. Anthropic mengambil pendekatan yang serupa melalui perkongsian dengan institusi seperti Pacific Northwest National Laboratory dan program red-team dalaman.

Kemunculan ejen keselamatan AI menandakan peralihan ke arah apa yang ramai penyelidik panggil “keselamatan siber beragen (agentic cybersecurity),” di mana sistem autonomi menganalisis, menguji, dan memulihkan kerentanan perisian secara berterusan. Jika berjaya, alat sedemikian boleh memendekkan masa antara penemuan kerentanan dan pelaksanaan tampalan—salah satu kelemahan terbesar dalam keselamatan perisian moden.

Bagi pembangun dan pasukan keselamatan, waktunya sukar untuk diabaikan. AI bukan lagi sekadar menulis kod—ia kini mengauditnya, memecahkannya, dan membaikinya, selalunya dalam aliran kerja yang sama.

Dan dengan OpenAI serta Anthropic kini bersaing secara langsung, gelombang seterusnya alat keselamatan siber mungkin hadir bukan sebagai pengimbas tradisional tetapi sebagai ejen AI yang tidak pernah tidur, tidak pernah merungut dan, idealnya, mengesan pepijat sebelum penggodam melakukannya.

FAQ 🤖

• Apakah OpenAI Codex Security?
  Codex Security ialah ejen keselamatan aplikasi berkuasa AI yang mengimbas repositori GitHub, mengesahkan kerentanan dan mencadangkan pembaikan kod.
• Bagaimanakah Codex Security berbeza daripada pengimbas kerentanan tradisional?
  Sistem ini menggunakan penaakulan AI dan pengesahan kotak pasir untuk menganalisis konteks kod dan mengurangkan positif palsu.
• Apakah Claude Code Security oleh Anthropic?
  Claude Code Security ialah alat AI pesaing yang mengimbas pangkalan kod untuk kerentanan dan mencadangkan tampalan menggunakan model Claude Anthropic.
• Mengapakah syarikat AI membina ejen keselamatan siber?
  Ejen AI boleh mengesan dan membaiki kerentanan perisian dengan lebih pantas daripada alat tradisional, membantu pembangun mengukuhkan keselamatan kod pada skala besar.