Codex Security от OpenAI дебютирует на фоне обострения конкуренции с Anthropic в области кибербезопасности на базе искусственного интеллекта

OpenAI запускает Codex Security, чтобы бросить вызов Claude Code Security от Anthropic

Релиз происходит на фоне растущего интереса к инструментам ИИ, которые могут прочесывать огромные программные проекты быстрее, чем это когда-либо могли бы сделать команды безопасности, состоящие из людей. Codex Security предназначен для анализа репозиториев, выявления уязвимостей, их проверки в изолированных тестовых средах и предложения исправлений, которые разработчики могут проверить перед их применением. Система создает контекст по каждому коммиту, позволяя ИИ понимать, как развивается код, а не просто отмечать изолированные фрагменты.

OpenAI написала:

«Мы представляем Codex Security. Агент безопасности приложений, который помогает вам защитить вашу кодовую базу, находя уязвимости, проверяя их и предлагая исправления, которые вы можете просмотреть и исправить. Теперь команды могут сосредоточиться на важных уязвимостях и быстрее поставлять код».

OpenAI заявила, что инструмент основан на экосистеме Codex, облачном помощнике по искусственному интеллекту, представленном в мае 2025 года, который помогает разработчикам писать код, исправлять ошибки и предлагать pull-запросы. По данным компании, к марту 2026 года количество пользователей Codex выросло примерно до 1,6 миллиона в неделю. Codex Security расширяет эти возможности в области безопасности приложений, сегмента рынка, который, по оценкам, приносит около 20 миллиардов долларов в год.

Объявление OpenAI совпало с выпуском GPT-5.3 Instant и GPT-5.4. Этот шаг также следует за дебютом Anthropic 20 февраля Claude Code Security, который сканирует целые кодовые базы и предлагает исправления для обнаруженных уязвимостей. Основанный на модели Claude Opus 4.6, этот инструмент пытается рассуждать о программном обеспечении как человеческий исследователь в области безопасности, анализируя бизнес-логику, потоки данных и взаимодействия систем, а не полагаясь исключительно на статические правила сканирования.

Anthropic заявила, что Claude Code Security уже выявил более 500 уязвимостей в проектах с открытым исходным кодом, включая проблемы, которые оставались незамеченными в течение многих лет. В настоящее время компания предлагает эту функцию в рамках предварительного просмотра для корпоративных и командных клиентов, а разработчики открытого исходного кода могут бесплатно запросить ускоренный доступ.

Обе компании делают ставку на то, что системы искусственного интеллекта, способные анализировать контекст кода, будут превосходить традиционные сканеры уязвимостей, которые часто генерируют большое количество ложных срабатываний. Для решения этой проблемы Claude Code Security использует многоступенчатую систему проверки, которая повторно проверяет результаты и присваивает им оценки серьезности и достоверности.

Codex Security использует немного другой подход. Вместо того, чтобы полагаться исключительно на выводы модели, агент проверяет подозрительные уязвимости в изолированных средах, прежде чем выводить результаты. OpenAI заявила, что этот процесс снижает количество ложных срабатываний и позволяет ИИ ранжировать результаты на основе доказательств, собранных во время тестирования.

«Codex Security началась как Aardvark, запущенная в прошлом году в закрытой бета-версии», — написала OpenAI на X. Компания добавила:

«С тех пор мы значительно улучшили качество сигнала, уменьшили количество шумов, повысили точность оценки серьезности и снизили количество ложных срабатываний, благодаря чему результаты лучше соответствуют реальным рискам».

Разработчики, просматривающие результаты Codex Security, могут изучить вспомогательные данные, просмотреть различия в коде для предлагаемых исправлений и интегрировать исправления через рабочие процессы Github. Система также позволяет командам настраивать модели угроз, регулируя такие параметры, как поверхность атаки, объем репозитория и толерантность к риску.

В то время как запуск Anthropic всколыхнул часть сектора кибербезопасности, появление OpenAI пока вызвало больше разговоров, чем панику на рынке. Когда в феврале дебютировала Claude Code Security, акции нескольких компаний, занимающихся кибербезопасностью, включая Crowdstrike и Palo Alto Networks, ненадолго упали на 5–10 %, но впоследствии в ходе последующих торговых сессий в основном восстановились.

В то время аналитики заявили, что распродажа, вероятно, отражала опасения по поводу того, смогут ли инструменты искусственного интеллекта заменить часть рынка безопасности приложений. Однако многие исследователи утверждают, что инструменты искусственного интеллекта скорее дополнят существующие платформы безопасности, чем полностью заменят их.

За последние два года обнаружение уязвимостей с помощью искусственного интеллекта быстро продвинулось вперед, и крупные языковые модели (LLM) все чаще участвуют в задачах по исследованию кибербезопасности, таких как соревнования Capture-the-Flag и автоматическое обнаружение уязвимостей. Эти возможности могут помочь защитникам быстрее выявлять слабые места в программном обеспечении, но они также вызывают опасения, что злоумышленники могут потенциально использовать подобные системы.

Для устранения этих рисков 5 февраля OpenAI запустила инициативу «Trusted Access for Cyber», которая предоставляет проверенным исследователям в области безопасности контролируемый доступ к передовым моделям для исследований в области защиты. Anthropic применила аналогичный подход, установив партнерские отношения с такими учреждениями, как Pacific Northwest National Laboratory, и запустив внутренние программы «красной команды».

Появление агентов безопасности ИИ знаменует переход к тому, что многие исследователи называют «агентной кибербезопасностью», когда автономные системы непрерывно анализируют, тестируют и устраняют уязвимости программного обеспечения. В случае успеха такие инструменты могут сократить время между обнаружением уязвимости и развертыванием исправления — одной из самых больших слабостей современной безопасности программного обеспечения.

Для разработчиков и команд безопасности этот момент трудно игнорировать. ИИ больше не просто пишет код — теперь он его проверяет, ломает и исправляет, часто в рамках одного и того же рабочего процесса.

А с учетом того, что OpenAI и Anthropic теперь конкурируют друг с другом, следующая волна инструментов кибербезопасности может прийти не в виде традиционных сканеров, а в виде агентов ИИ, которые никогда не спят, никогда не жалуются и, в идеале, находят ошибки раньше хакеров.

Часто задаваемые вопросы 🤖

• Что такое Codex Security от OpenAI?
  Codex Security — это агент безопасности приложений на базе искусственного интеллекта, который сканирует репозитории GitHub, проверяет уязвимости и предлагает исправления кода.
• Чем Codex Security отличается от традиционных сканеров уязвимостей?
  Система использует искусственный интеллект и проверку в песочнице для анализа контекста кода и уменьшения количества ложных срабатываний.
• Что такое Claude Code Security от Anthropic?
  Claude Code Security — это конкурирующий инструмент искусственного интеллекта, который сканирует кодовые базы на наличие уязвимостей и предлагает исправления с использованием модели Claude от Anthropic.
• Почему компании, занимающиеся искусственным интеллектом, создают агенты кибербезопасности?
  Агенты искусственного интеллекта могут обнаруживать и исправлять уязвимости программного обеспечения быстрее, чем традиционные инструменты, помогая разработчикам усилить безопасность кода в больших масштабах.