OpenAI’s Codex Security debuteert terwijl de AI-cybersecurityrace met Anthropic verder verhit raakt

OpenAI lanceert Codex Security om Anthropic’s Claude Code Security uit te dagen

De release komt op een moment van groeiende interesse in AI-tools die enorme softwareprojecten sneller kunnen doorzoeken dan menselijke securityteams ooit zouden kunnen. Codex Security is ontworpen om repositories te analyseren, kwetsbaarheden te identificeren, ze te valideren in geïsoleerde testomgevingen en fixes voor te stellen die ontwikkelaars kunnen beoordelen voordat ze worden toegepast. Het systeem bouwt context op commit-voor-commit, waardoor de AI kan begrijpen hoe code evolueert in plaats van alleen losse snippets te markeren.

OpenAI schreef:

“We introduceren Codex Security. Een applicatiebeveiligingsagent die je helpt je codebase te beveiligen door kwetsbaarheden te vinden, ze te valideren en fixes voor te stellen die je kunt beoordelen en patchen. Teams kunnen zich nu richten op de kwetsbaarheden die ertoe doen en sneller code uitbrengen.”

OpenAI zei dat de tool voortbouwt op zijn Codex-ecosysteem, een cloudgebaseerde AI-engineeringassistent die in mei 2025 werd geïntroduceerd en ontwikkelaars helpt code te schrijven, bugs te verhelpen en pull requests voor te stellen. Tegen maart 2026 was het gebruik van Codex gestegen tot ongeveer 1,6 miljoen wekelijkse gebruikers, aldus het bedrijf. Codex Security breidt die mogelijkheden uit naar applicatiebeveiliging, een marktsegment waarvan wordt geschat dat het jaarlijks ongeveer $20 miljard oplevert.

De aankondiging van OpenAI komt terwijl het ook GPT-5.3 Instant heeft uitgebracht en GPT-5.4. De stap volgt tevens op de debuut van Anthropic op 20 februari met Claude Code Security, dat volledige codebases scant en patches voorstelt voor gedetecteerde kwetsbaarheden. Gebouwd op het Claude Opus 4.6-model probeert de tool over software te redeneren zoals een menselijke securityonderzoeker—door bedrijfslogica, datastromen en systeeminteracties te analyseren in plaats van uitsluitend te vertrouwen op statische scanregels.

Anthropic zei dat Claude Code Security al meer dan 500 kwetsbaarheden heeft geïdentificeerd in open-sourcesoftwareprojecten, waaronder problemen die jarenlang onopgemerkt waren gebleven. Het bedrijf biedt de functie momenteel aan als research preview voor enterprise- en teamklanten, terwijl open-sourcemaintainers gratis versnelde toegang kunnen aanvragen.

Beide bedrijven zetten in op AI-systemen die over codecontext kunnen redeneren en daarmee traditionele kwetsbaarheidsscanners zullen overtreffen, die vaak grote hoeveelheden false positives genereren. Om dat probleem aan te pakken, gebruikt Claude Code Security een meerfasig verificatiesysteem dat bevindingen opnieuw controleert en ernst- en betrouwbaarheidsscores toekent.

Codex Security hanteert een iets andere aanpak. In plaats van puur te vertrouwen op modelinference, valideert de agent vermoedelijke kwetsbaarheden in gesandboxte omgevingen voordat resultaten worden getoond. OpenAI zei dat dit proces ruis vermindert en de AI in staat stelt bevindingen te rangschikken op basis van bewijs dat tijdens het testen is verzameld.

“Codex Security begon als Aardvark, vorig jaar gelanceerd in een private beta,” schreef OpenAI op X. Het bedrijf voegde daaraan toe:

“Sindsdien hebben we de signaalkwaliteit aanzienlijk verbeterd door ruis te verminderen, de nauwkeurigheid van ernst te verbeteren en false positives te verlagen, zodat bevindingen beter aansluiten bij risico in de echte wereld.”

Ontwikkelaars die Codex Security-resultaten beoordelen, kunnen ondersteunende data bekijken, code-diffs inzien voor voorgestelde patches en fixes integreren via Github-workflows. Het systeem stelt teams ook in staat dreigingsmodellen te aanpassen door parameters zoals aanvalsoppervlak, repository-scope en risicotolerantie bij te stellen.

Hoewel de lancering van Anthropic delen van de cybersecuritysector opschudde, heeft de entree van OpenAI tot nu toe meer gepraat dan marktpaniek veroorzaakt. Toen Claude Code Security in februari debuteerde, daalden verschillende cybersecurityaandelen kortstondig tussen 5% en 10%, waaronder bedrijven als Crowdstrike en Palo Alto Networks, voordat ze in latere handelsessies grotendeels herstelden.

Destijds zeiden analisten dat de sell-off waarschijnlijk angst weerspiegelde over de vraag of AI-tools delen van de applicatiebeveiligingsmarkt zouden kunnen vervangen. Veel onderzoekers betogen echter dat AI-tools eerder bestaande securityplatforms zullen aanvullen dan ze volledig te vervangen.

AI-ondersteunde kwetsbaarheidsdetectie heeft zich de afgelopen twee jaar snel ontwikkeld, waarbij grote taalmodellen (LLM’s) steeds vaker deelnemen aan cybersecurityonderzoekstaken zoals Capture-the-Flag-competities en geautomatiseerde kwetsbaarheidsvinding. Deze capaciteiten kunnen verdedigers helpen softwarezwaktes sneller te identificeren—maar ze roepen ook zorgen op dat aanvallers mogelijk vergelijkbare systemen kunnen misbruiken.

Om die risico’s aan te pakken, lanceerde OpenAI op 5 februari een initiatief “Trusted Access for Cyber” dat gecontroleerde toegang tot geavanceerde modellen biedt aan gescreende securityonderzoekers voor defensief onderzoek. Anthropic heeft een vergelijkbare aanpak via samenwerkingen met instellingen zoals Pacific Northwest National Laboratory en interne red-teamprogramma’s.

De opkomst van AI-securityagenten markeert een verschuiving naar wat veel onderzoekers “agentic cybersecurity” noemen, waarbij autonome systemen continu softwarekwetsbaarheden analyseren, testen en verhelpen. Als ze succesvol zijn, kunnen zulke tools de tijd tussen het ontdekken van een kwetsbaarheid en het uitrollen van een patch verkorten—een van de grootste zwaktes in moderne softwarebeveiliging.

Voor ontwikkelaars en securityteams is de timing moeilijk te negeren. AI schrijft niet langer alleen code—het auditeert die nu ook, breekt die en fixt die, vaak binnen dezelfde workflow.

En nu OpenAI en Anthropic het rechtstreeks tegen elkaar opnemen, kan de volgende golf aan cybersecuritytools niet verschijnen als traditionele scanners, maar als AI-agenten die nooit slapen, nooit klagen en idealiter bugs vinden voordat hackers dat doen.

FAQ 🤖

• Wat is OpenAI’s Codex Security?
  Codex Security is een door AI aangedreven applicatiebeveiligingsagent die GitHub-repositories scant, kwetsbaarheden valideert en codefixes voorstelt.
• Hoe verschilt Codex Security van traditionele kwetsbaarheidsscanners?
  Het systeem gebruikt AI-redenering en sandboxvalidatie om codecontext te analyseren en false positives te verminderen.
• Wat is Anthropic’s Claude Code Security?
  Claude Code Security is een concurrerende AI-tool die codebases scant op kwetsbaarheden en patches voorstelt met behulp van Anthropic’s Claude-model.
• Waarom bouwen AI-bedrijven cybersecurityagenten?
  AI-agenten kunnen softwarekwetsbaarheden sneller detecteren en verhelpen dan traditionele tools, waardoor ontwikkelaars de codebeveiliging op schaal kunnen versterken.