Codex Security da OpenAI estreia à medida que a corrida de cibersegurança com IA se intensifica com a Anthropic

OpenAI lança o Codex Security para desafiar o Claude Code Security da Anthropic

O lançamento ocorre em meio ao crescente interesse por ferramentas de IA capazes de examinar grandes projetos de software mais rapidamente do que equipas humanas de segurança jamais conseguiriam. O Codex Security foi concebido para analisar repositórios, identificar vulnerabilidades, validá-las em ambientes de teste isolados e propor correções que os programadores podem rever antes de as aplicar. O sistema constrói contexto commit a commit, permitindo que a IA entenda como o código evolui, em vez de simplesmente assinalar trechos isolados.

A OpenAI escreveu:

“Estamos a apresentar o Codex Security. Um agente de segurança de aplicações que ajuda a proteger a sua base de código ao encontrar vulnerabilidades, validá-las e propor correções que pode rever e aplicar. Agora, as equipas podem concentrar-se nas vulnerabilidades que importam e entregar código mais rapidamente.”

A OpenAI disse que a ferramenta se baseia no seu ecossistema Codex, um assistente de engenharia de IA baseado na nuvem, apresentado em maio de 2025, que ajuda programadores a escrever código, corrigir bugs e propor pull requests. Até março de 2026, o uso do Codex havia subido para cerca de 1,6 milhão de utilizadores semanais, segundo a empresa. O Codex Security estende essas capacidades para a segurança de aplicações, um segmento da indústria estimado em gerar cerca de 20 mil milhões de dólares por ano.

O anúncio da OpenAI acontece enquanto também lançou o GPT-5.3 Instant e o GPT-5.4. O movimento também segue a estreia, em 20 de fevereiro, do Claude Code Security da Anthropic, que varre bases de código inteiras e sugere patches para vulnerabilidades detetadas. Construída sobre o modelo Claude Opus 4.6, a ferramenta procura raciocinar sobre software como um pesquisador humano de segurança — analisando lógica de negócio, fluxos de dados e interações do sistema, em vez de depender apenas de regras de varredura estática.

A Anthropic afirmou que o Claude Code Security já identificou mais de 500 vulnerabilidades em projetos de software de código aberto, incluindo problemas que haviam passado despercebidos por anos. A empresa está atualmente a oferecer o recurso em uma prévia de pesquisa para clientes empresariais e de equipa, enquanto mantenedores de open source podem solicitar acesso acelerado gratuitamente.

Ambas as empresas apostam que sistemas de IA capazes de raciocinar sobre o contexto do código superarão scanners tradicionais de vulnerabilidades, que frequentemente geram grandes volumes de falsos positivos. Para enfrentar esse problema, o Claude Code Security usa um sistema de verificação em múltiplas etapas que reavalia as descobertas e atribui pontuações de severidade e confiança.

O Codex Security adota uma abordagem ligeiramente diferente. Em vez de depender puramente de inferência do modelo, o agente valida vulnerabilidades suspeitas dentro de ambientes isolados (sandbox) antes de apresentar os resultados. A OpenAI disse que o processo reduz ruído e permite que a IA classifique as descobertas com base em evidências reunidas durante os testes.

“O Codex Security começou como o Aardvark, lançado no ano passado em beta privado”, escreveu a OpenAI no X. A empresa acrescentou:

“Desde então, melhorámos significativamente a qualidade do sinal, reduzindo ruído, melhorando a precisão de severidade e diminuindo falsos positivos, para que as descobertas se alinhem melhor ao risco do mundo real.”

Programadores que revisam os resultados do Codex Security podem examinar dados de suporte, ver diffs de código para patches sugeridos e integrar correções por meio de fluxos de trabalho do Github. O sistema também permite que equipas personalizem modelos de ameaça ajustando parâmetros como superfície de ataque, escopo do repositório e tolerância a risco.

Embora o lançamento da Anthropic tenha abalado partes do setor de cibersegurança, a entrada da OpenAI até agora gerou mais burburinho do que pânico no mercado. Quando o Claude Code Security estreou em fevereiro, várias ações de cibersegurança caíram brevemente entre 5% e 10%, incluindo empresas como Crowdstrike e Palo Alto Networks, antes de em grande parte recuperarem nas sessões de negociação subsequentes.

Na época, analistas disseram que a queda provavelmente refletiu ansiedade sobre se ferramentas de IA poderiam substituir partes do mercado de segurança de aplicações. Muitos pesquisadores, no entanto, argumentam que ferramentas de IA são mais propensas a complementar plataformas de segurança existentes do que a substituí-las por completo.

A deteção de vulnerabilidades assistida por IA avançou rapidamente nos últimos dois anos, com modelos de linguagem de grande escala (LLMs) participando cada vez mais de tarefas de pesquisa em cibersegurança, como competições de Capture-the-Flag e descoberta automatizada de vulnerabilidades. Essas capacidades podem ajudar defensores a identificar fraquezas de software mais rapidamente — mas também levantam preocupações de que atacantes possam potencialmente explorar sistemas semelhantes.

Para lidar com esses riscos, a OpenAI lançou, em 5 de fevereiro, uma iniciativa “Trusted Access for Cyber”, que fornece a pesquisadores de segurança verificados acesso controlado a modelos avançados para pesquisa defensiva. A Anthropic adotou uma abordagem semelhante por meio de parcerias com instituições como o Pacific Northwest National Laboratory e programas internos de red-team.

O surgimento de agentes de segurança de IA marca uma mudança em direção ao que muitos pesquisadores chamam de “cibersegurança agentiva”, em que sistemas autónomos analisam, testam e corrigem continuamente vulnerabilidades de software. Se bem-sucedidas, tais ferramentas poderiam encurtar o tempo entre a descoberta de uma vulnerabilidade e a implantação de um patch — uma das maiores fraquezas na segurança de software moderna.

Para programadores e equipas de segurança, o timing é difícil de ignorar. A IA já não está apenas a escrever código — agora está a auditá-lo, quebrá-lo e consertá-lo, muitas vezes no mesmo fluxo de trabalho.

E com a OpenAI e a Anthropic agora a competir lado a lado, a próxima onda de ferramentas de cibersegurança pode chegar não como scanners tradicionais, mas como agentes de IA que nunca dormem, nunca reclamam e, idealmente, apanham bugs antes que hackers o façam.

FAQ 🤖

• O que é o Codex Security da OpenAI?
  O Codex Security é um agente de segurança de aplicações impulsionado por IA que varre repositórios do GitHub, valida vulnerabilidades e propõe correções de código.
• Como o Codex Security difere dos scanners tradicionais de vulnerabilidades?
  O sistema usa raciocínio de IA e validação em sandbox para analisar o contexto do código e reduzir falsos positivos.
• O que é o Claude Code Security da Anthropic?
  O Claude Code Security é uma ferramenta de IA concorrente que varre bases de código em busca de vulnerabilidades e sugere patches usando o modelo Claude da Anthropic.
• Por que as empresas de IA estão a construir agentes de cibersegurança?
  Agentes de IA podem detetar e corrigir vulnerabilidades de software mais rapidamente do que ferramentas tradicionais, ajudando programadores a reforçar a segurança do código em escala.