La sécurité de Codex d'OpenAI fait ses débuts alors que la course à la cybersécurité IA avec Anthropic s'intensifie

OpenAI a lancé Codex Security le 6 mars, introduisant un agent de sécurité applicative alimenté par intelligence artificielle (IA) qui scanne les dépôts Github à la recherche de vulnérabilités, seulement quelques semaines après le lancement par Anthropic de son outil rival Claude Code Security — transformant la défense du code pilotée par l’IA en le nouveau terrain de compétition de l’industrie technologique.

OpenAI lance Codex Security pour défier Claude Code Security d’Anthropic

La sortie intervient dans un contexte d’intérêt croissant pour les outils d’IA capables de parcourir des projets logiciels massifs plus rapidement que ne le pourraient jamais des équipes de sécurité humaines. Codex Security est conçu pour analyser les dépôts, identifier les vulnérabilités, les valider dans des environnements de test isolés, et proposer des correctifs que les développeurs peuvent examiner avant de les appliquer. Le système construit le contexte étape par étape, permettant à l’IA de comprendre l’évolution du code plutôt que de simplement signaler des extraits isolés.

OpenAI a écrit :

“Nous introduisons Codex Security. Un agent de sécurité applicative qui vous aide à sécuriser votre base de code en trouvant des vulnérabilités, en les validant, et en proposant des correctifs que vous pouvez examiner et appliquer. Désormais, les équipes peuvent se concentrer sur les vulnérabilités importantes et livrer du code plus rapidement.”

OpenAI a indiqué que l’outil s’appuie sur son écosystème Codex, un assistant d’ingénierie IA basé sur le cloud lancé en mai 2025, qui aide les développeurs à écrire du code, corriger des bugs et proposer des demandes de fusion. En mars 2026, l’utilisation de Codex avait atteint environ 1,6 million d’utilisateurs hebdomadaires, selon la société. Codex Security étend ces capacités à la sécurité des applications, un secteur estimé générer environ 20 milliards de dollars par an.

L’annonce d’OpenAI intervient alors qu’il a également lancé GPT-5.3 Instant et GPT-5.4. La démarche suit également le lancement par Anthropic, le 20 février, de Claude Code Security, qui scanne l’ensemble des bases de code et suggère des correctifs pour les vulnérabilités détectées. Basé sur le modèle Claude Opus 4.6, l’outil tente de raisonner comme un chercheur en sécurité humain — en analysant la logique métier, les flux de données et les interactions système plutôt que de se fier uniquement à des règles de scan statique.

Anthropic a déclaré que Claude Code Security a déjà identifié plus de 500 vulnérabilités dans des projets logiciels open source, y compris des problèmes passés inaperçus pendant des années. La société propose actuellement cette fonctionnalité en aperçu de recherche pour ses clients entreprises et équipes, tandis que les mainteneurs open source peuvent demander un accès accéléré gratuitement.

Les deux entreprises parient que des systèmes d’IA capables de raisonner sur le contexte du code surpasseront les scanners de vulnérabilités traditionnels, qui génèrent souvent un grand nombre de faux positifs. Pour résoudre ce problème, Claude Code Security utilise un système de vérification à plusieurs étapes qui recontrôle les résultats et attribue des scores de gravité et de confiance.

Codex Security adopte une approche légèrement différente. Au lieu de se reposer uniquement sur l’inférence du modèle, l’agent valide les vulnérabilités suspectes dans des environnements sandbox avant de présenter les résultats. OpenAI a indiqué que ce processus réduit le bruit et permet à l’IA de classer les résultats en fonction des preuves recueillies lors des tests.

“Codex Security a commencé sous le nom d’Aardvark, lancé l’année dernière en bêta privée,” a écrit OpenAI sur X. La société a ajouté :

“Depuis, nous avons considérablement amélioré la qualité du signal, réduit le bruit, amélioré la précision des gravités, et diminué les faux positifs, afin que les résultats soient mieux alignés avec les risques réels.”

Les développeurs qui examinent les résultats de Codex Security peuvent consulter les données de support, voir les différences de code pour les correctifs suggérés, et intégrer les correctifs via les workflows Github. Le système permet également aux équipes de personnaliser les modèles de menace en ajustant des paramètres tels que la surface d’attaque, la portée du dépôt, et la tolérance au risque.

Alors que le lancement d’Anthropic a secoué une partie du secteur de la cybersécurité, l’entrée d’OpenAI a jusqu’à présent généré plus de discussions que de panique sur le marché. Lors du lancement de Claude Code Security en février, plusieurs actions de cybersécurité ont brièvement chuté entre 5 % et 10 %, notamment celles de Crowdstrike et Palo Alto Networks, avant de se redresser lors des sessions de trading suivantes.

À l’époque, les analystes ont dit que la vente pouvait refléter une anxiété quant à la capacité des outils d’IA à remplacer certaines parties du marché de la sécurité applicative. Cependant, de nombreux chercheurs soutiennent que les outils d’IA sont plus susceptibles de compléter les plateformes de sécurité existantes plutôt que de les remplacer complètement.

La détection de vulnérabilités assistée par l’IA a progressé rapidement ces deux dernières années, avec des grands modèles de langage (LLMs) participant de plus en plus à des tâches de recherche en cybersécurité telles que les compétitions Capture-the-Flag et la découverte automatisée de vulnérabilités. Ces capacités peuvent aider les défenseurs à identifier plus rapidement les faiblesses logicielles — mais elles soulèvent aussi des inquiétudes quant au potentiel d’exploitation par des attaquants utilisant des systèmes similaires.

Pour répondre à ces risques, OpenAI a lancé le 5 février une initiative “Trusted Access for Cyber” qui offre aux chercheurs en sécurité vérifiés un accès contrôlé à des modèles avancés pour la recherche défensive. Anthropic a adopté une approche similaire via des partenariats avec des institutions telles que le Pacific Northwest National Laboratory et des programmes internes de red team.

L’émergence d’agents de sécurité IA marque un changement vers ce que de nombreux chercheurs appellent la “cybersécurité agentique,” où des systèmes autonomes analysent, testent et corrigent en continu les vulnérabilités logicielles. Si cette approche réussit, ces outils pourraient réduire le délai entre la découverte d’une vulnérabilité et le déploiement d’un correctif — l’une des plus grandes faiblesses de la sécurité logicielle moderne.

Pour les développeurs et les équipes de sécurité, le moment est difficile à ignorer. L’IA ne se contente plus d’écrire du code — elle l’audit, le brise, et le répare, souvent dans le même flux de travail.

Et avec OpenAI et Anthropic en compétition directe, la prochaine vague d’outils de cybersécurité pourrait arriver non pas sous forme de scanners traditionnels, mais sous forme d’agents IA qui ne dorment jamais, ne se plaignent jamais, et, idéalement, détectent les bugs avant que les hackers ne le fassent.

FAQ 🤖

• Qu’est-ce que Codex Security d’OpenAI ? Codex Security est un agent de sécurité applicative alimenté par IA qui scanne les dépôts GitHub, valide les vulnérabilités et propose des correctifs de code.
• En quoi Codex Security diffère-t-il des scanners de vulnérabilités traditionnels ? Le système utilise le raisonnement IA et la validation en sandbox pour analyser le contexte du code et réduire les faux positifs.
• Qu’est-ce que Claude Code Security d’Anthropic ? Claude Code Security est un outil d’IA concurrent qui scanne les bases de code pour détecter des vulnérabilités et suggère des correctifs en utilisant le modèle Claude d’Anthropic.
• Pourquoi les entreprises d’IA construisent-elles des agents de cybersécurité ? Les agents IA peuvent détecter et corriger plus rapidement les vulnérabilités logicielles que les outils traditionnels, aidant les développeurs à renforcer la sécurité du code à grande échelle.