OpenAI đã triển khai Codex Security vào ngày 6/3, giới thiệu một tác nhân bảo mật ứng dụng được hỗ trợ bởi trí tuệ nhân tạo (AI) có khả năng quét các kho lưu trữ Github để tìm lỗ hổng, chỉ vài tuần sau khi Anthropic ra mắt công cụ đối thủ Claude Code Security—biến phòng thủ mã nguồn dựa trên AI thành chiến trường cạnh tranh mới nhất của ngành công nghệ.
Bảo mật Codex của OpenAI ra mắt khi cuộc đua an ninh mạng AI nóng lên cùng Anthropic
TÁC GIẢ
CHIA SẺ
OpenAI ra mắt Codex Security để thách thức Claude Code Security của Anthropic
Bản phát hành diễn ra trong bối cảnh sự quan tâm ngày càng tăng đối với các công cụ AI có thể rà soát những dự án phần mềm khổng lồ nhanh hơn nhiều so với các nhóm bảo mật do con người đảm nhiệm. Codex Security được thiết kế để phân tích các kho lưu trữ, xác định lỗ hổng, xác thực chúng trong các môi trường thử nghiệm cô lập và đề xuất bản sửa lỗi để nhà phát triển xem xét trước khi áp dụng. Hệ thống xây dựng ngữ cảnh theo từng commit, cho phép AI hiểu cách mã nguồn tiến hóa thay vì chỉ gắn cờ các đoạn mã rời rạc.
OpenAI viết:
“Chúng tôi giới thiệu Codex Security. Một tác nhân bảo mật ứng dụng giúp bạn bảo vệ codebase bằng cách tìm lỗ hổng, xác thực chúng và đề xuất các bản sửa lỗi mà bạn có thể xem xét và vá. Giờ đây, các đội ngũ có thể tập trung vào những lỗ hổng quan trọng và phát hành mã nhanh hơn.”
OpenAI cho biết công cụ này dựa trên hệ sinh thái Codex của họ, một trợ lý kỹ thuật AI dựa trên đám mây được giới thiệu vào tháng 5/2025 nhằm giúp nhà phát triển viết mã, sửa lỗi và đề xuất pull request. Đến tháng 3/2026, mức sử dụng Codex đã tăng lên khoảng 1,6 triệu người dùng mỗi tuần, theo công ty. Codex Security mở rộng các năng lực đó sang lĩnh vực bảo mật ứng dụng, một phân khúc ngành được ước tính tạo ra khoảng 20 tỷ USD doanh thu mỗi năm.
Thông báo của OpenAI được đưa ra khi họ cũng phát hành GPT-5.3 Instant và GPT-5.4. Động thái này cũng diễn ra sau màn ra mắt ngày 20/2 của Anthropic với Claude Code Security, công cụ quét toàn bộ codebase và đề xuất bản vá cho các lỗ hổng được phát hiện. Được xây dựng trên mô hình Claude Opus 4.6, công cụ này cố gắng suy luận về phần mềm như một nhà nghiên cứu bảo mật—phân tích logic nghiệp vụ, luồng dữ liệu và tương tác hệ thống thay vì chỉ dựa vào các quy tắc quét tĩnh.
Anthropic cho biết Claude Code Security đã xác định hơn 500 lỗ hổng trên các dự án phần mềm mã nguồn mở, bao gồm cả những vấn đề đã không bị phát hiện trong nhiều năm. Hiện công ty đang cung cấp tính năng này ở dạng bản xem trước nghiên cứu cho khách hàng doanh nghiệp và nhóm, trong khi các người bảo trì mã nguồn mở có thể yêu cầu quyền truy cập nhanh miễn phí.
Cả hai công ty đều đặt cược rằng các hệ thống AI có khả năng suy luận theo ngữ cảnh mã sẽ vượt trội so với các trình quét lỗ hổng truyền thống, vốn thường tạo ra lượng lớn cảnh báo sai. Để giải quyết vấn đề đó, Claude Code Security sử dụng một hệ thống xác minh nhiều giai đoạn để kiểm tra lại các phát hiện và gán điểm mức độ nghiêm trọng cùng độ tin cậy.
Codex Security áp dụng một cách tiếp cận hơi khác. Thay vì chỉ dựa thuần vào suy luận của mô hình, tác nhân này xác thực các lỗ hổng nghi ngờ bên trong các môi trường sandbox trước khi đưa kết quả ra. OpenAI cho biết quy trình này giúp giảm nhiễu và cho phép AI xếp hạng các phát hiện dựa trên bằng chứng thu thập được trong quá trình thử nghiệm.
“Codex Security bắt đầu như Aardvark, được ra mắt năm ngoái dưới dạng beta riêng,” OpenAI viết trên X. Công ty nói thêm:
“Kể từ đó, chúng tôi đã cải thiện đáng kể chất lượng tín hiệu, giảm nhiễu, nâng độ chính xác của mức độ nghiêm trọng và giảm cảnh báo sai, để các phát hiện phù hợp hơn với rủi ro trong thế giới thực.”
Các nhà phát triển khi xem xét kết quả từ Codex Security có thể kiểm tra dữ liệu hỗ trợ, xem diff mã cho các bản vá được đề xuất và tích hợp các sửa lỗi thông qua quy trình làm việc của Github. Hệ thống cũng cho phép các đội ngũ tùy chỉnh mô hình đe dọa bằng cách điều chỉnh các tham số như bề mặt tấn công, phạm vi kho lưu trữ và mức chấp nhận rủi ro.
Trong khi màn ra mắt của Anthropic làm rung chuyển một số phần của ngành an ninh mạng, việc OpenAI gia nhập cho đến nay tạo ra nhiều bàn tán hơn là hoảng loạn trên thị trường. Khi Claude Code Security ra mắt vào tháng 2, một số cổ phiếu an ninh mạng đã giảm ngắn hạn từ 5% đến 10%, bao gồm các công ty như Crowdstrike và Palo Alto Networks, trước khi phần lớn phục hồi trong các phiên giao dịch sau đó.
Vào thời điểm đó, các nhà phân tích cho rằng đợt bán tháo có lẽ phản ánh sự lo lắng về việc liệu các công cụ AI có thể thay thế một phần của thị trường bảo mật ứng dụng hay không. Tuy nhiên, nhiều nhà nghiên cứu lập luận rằng các công cụ AI có khả năng bổ trợ cho các nền tảng bảo mật hiện có hơn là thay thế hoàn toàn.
Việc phát hiện lỗ hổng có trợ giúp của AI đã tiến bộ nhanh chóng trong hai năm qua, khi các mô hình ngôn ngữ lớn (LLM) ngày càng tham gia vào các nhiệm vụ nghiên cứu an ninh mạng như các cuộc thi Capture-the-Flag và phát hiện lỗ hổng tự động. Những năng lực này có thể giúp bên phòng thủ nhận diện điểm yếu phần mềm nhanh hơn—nhưng cũng làm dấy lên lo ngại rằng kẻ tấn công có thể khai thác các hệ thống tương tự.
Để giảm thiểu các rủi ro đó, OpenAI đã ra mắt sáng kiến “Trusted Access for Cyber” vào ngày 5/2, cung cấp cho các nhà nghiên cứu bảo mật đã được thẩm định quyền truy cập có kiểm soát vào các mô hình tiên tiến phục vụ nghiên cứu phòng thủ. Anthropic cũng áp dụng cách tiếp cận tương tự thông qua các quan hệ đối tác với những tổ chức như Pacific Northwest National Laboratory và các chương trình red-team nội bộ.
Những “ông lớn” AI thực hiện các bước đi khổng lồ trong một tuần chóng mặt
Các phát triển về trí tuệ nhân tạo (AI) trong tuần qua đã mang đến một cơn lốc các mô hình mới và các vòng gọi vốn trị giá hàng tỷ đô la. read more.
Đọc ngay
Những “ông lớn” AI thực hiện các bước đi khổng lồ trong một tuần chóng mặt
Các phát triển về trí tuệ nhân tạo (AI) trong tuần qua đã mang đến một cơn lốc các mô hình mới và các vòng gọi vốn trị giá hàng tỷ đô la. read more.
Đọc ngayNhững “ông lớn” AI thực hiện các bước đi khổng lồ trong một tuần chóng mặt
Đọc ngayCác phát triển về trí tuệ nhân tạo (AI) trong tuần qua đã mang đến một cơn lốc các mô hình mới và các vòng gọi vốn trị giá hàng tỷ đô la. read more.
Sự xuất hiện của các tác nhân bảo mật AI đánh dấu một sự dịch chuyển sang điều mà nhiều nhà nghiên cứu gọi là “agentic cybersecurity,” nơi các hệ thống tự trị liên tục phân tích, kiểm thử và khắc phục các lỗ hổng phần mềm. Nếu thành công, những công cụ như vậy có thể rút ngắn thời gian từ lúc phát hiện lỗ hổng đến khi triển khai bản vá—một trong những điểm yếu lớn nhất của bảo mật phần mềm hiện đại.
Đối với các nhà phát triển và đội ngũ bảo mật, thời điểm này rất khó để làm ngơ. AI không còn chỉ viết mã—giờ đây nó đang kiểm toán mã, phá vỡ nó và sửa nó, thường ngay trong cùng một quy trình làm việc.
Và khi OpenAI và Anthropic giờ đây cạnh tranh trực diện, làn sóng công cụ an ninh mạng tiếp theo có thể sẽ không đến dưới dạng các trình quét truyền thống mà là các tác nhân AI không bao giờ ngủ, không bao giờ phàn nàn và, lý tưởng nhất, bắt lỗi trước khi hacker làm điều đó.
FAQ 🤖
- Codex Security của OpenAI là gì?
Codex Security là một tác nhân bảo mật ứng dụng được hỗ trợ bởi AI, quét các kho lưu trữ GitHub, xác thực lỗ hổng và đề xuất các bản sửa lỗi. - Codex Security khác gì so với các trình quét lỗ hổng truyền thống?
Hệ thống sử dụng suy luận AI và xác thực trong sandbox để phân tích ngữ cảnh mã và giảm cảnh báo sai. - Claude Code Security của Anthropic là gì?
Claude Code Security là một công cụ AI cạnh tranh, quét các codebase để tìm lỗ hổng và đề xuất bản vá bằng mô hình Claude của Anthropic. - Vì sao các công ty AI xây dựng các tác nhân an ninh mạng?
Các tác nhân AI có thể phát hiện và sửa lỗ hổng phần mềm nhanh hơn các công cụ truyền thống, giúp nhà phát triển tăng cường bảo mật mã ở quy mô lớn.
