Безопасность Codex от OpenAI дебютирует по мере обострения гонки в области кибербезопасности ИИ с Anthropic

OpenAI 6 марта запустила Codex Security — агент по обеспечению безопасности приложений на базе искусственного интеллекта (ИИ), который сканирует репозитории Github на наличие уязвимостей, всего через несколько недель после запуска конкурента Anthropic — инструмента Claude Code Security, — превратив защиту кода на базе ИИ в новую конкурентную область в технологической индустрии.

OpenAI запускает Codex Security, чтобы конкурировать с Claude Code Security от Anthropic

Этот запуск произошел на фоне растущего интереса к инструментам ИИ, способным быстрее, чем человеческие команды безопасности, просматривать крупные программные проекты. Codex Security предназначен для анализа репозиториев, выявления уязвимостей, их проверки в изолированных тестовых средах и предложения исправлений, которые разработчики могут просмотреть перед применением. Система строит контекст по коммитам, позволяя ИИ понять, как развивается код, а не просто отмечать отдельные фрагменты.

OpenAI заявил:

«Мы представляем Codex Security — агент по обеспечению безопасности приложений, который помогает вам защищать ваш код, находя уязвимости, проверяя их и предлагая исправления для обзора и устранения. Теперь команды могут сосредоточиться на наиболее важных уязвимостях и быстрее выпускать код.»

OpenAI отметил, что инструмент основан на экосистеме Codex — облачном помощнике по разработке на базе ИИ, представленном в мае 2025 года, который помогает разработчикам писать код, исправлять ошибки и предлагать пулл-запросы. К марту 2026 года использование Codex достигло примерно 1,6 миллиона пользователей в неделю, по данным компании. Codex Security расширяет эти возможности в области безопасности приложений, которая оценивается в примерно 20 миллиардов долларов в год.

Объявление OpenAI совпало с выпуском GPT-5.3 Instant и GPT-5.4. Этот шаг также последовал за дебютом Anthropic 20 февраля инструмента Claude Code Security, который сканирует целые кодовые базы и предлагает исправления обнаруженных уязвимостей. Основанный на модели Claude Opus 4.6, этот инструмент пытается рассуждать о программном обеспечении как человек-исследователь безопасности — анализировать бизнес-логику, потоки данных и взаимодействия систем, а не полагаться только на статические правила сканирования.

Anthropic заявил, что Claude Code Security уже выявил более 500 уязвимостей в открытых проектах программного обеспечения, включая проблемы, оставшиеся незамеченными годами. В настоящее время функция предлагается в исследовательском режиме для корпоративных и командных клиентов, а разработчики с открытым исходным кодом могут запросить ускоренный доступ бесплатно.

Обе компании делают ставку на то, что системы ИИ, способные рассуждать о контексте кода, превзойдут традиционные сканеры уязвимостей, которые часто дают много ложных срабатываний. Для решения этой проблемы Claude Code Security использует многоступенчатую систему проверки, которая перепроверяет результаты и присваивает уровни важности и уверенности.

Codex Security использует немного иной подход. Вместо того чтобы полагаться только на вывод модели, агент проверяет предполагаемые уязвимости внутри изолированных сред перед выводом результатов. OpenAI заявил, что этот процесс снижает уровень шума и позволяет ИИ ранжировать находки на основе собранных данных во время тестирования.

«Codex Security начался как Aardvark, запущенный в прошлом году в закрытой бета-версии», — написал OpenAI в X. Компания добавила:

«С тех пор мы значительно улучшили качество сигнала, снизили уровень шума, повысили точность определения важности и уменьшили количество ложных срабатываний, чтобы результаты лучше соответствовали реальному риску.»

Разработчики, просматривающие результаты Codex Security, могут изучать сопроводительные данные, просматривать различия в коде для предложенных исправлений и интегрировать их через рабочие процессы Github. Система также позволяет командам настраивать модели угроз, регулируя параметры, такие как поверхность атаки, объем репозитория и уровень риска.

Несмотря на то, что запуск Anthropic потряс часть сектора кибербезопасности, появление OpenAI вызвало больше обсуждений, чем паники на рынке. Когда Claude Code Security был представлен в феврале, акции нескольких компаний в области кибербезопасности временно снизились на 5–10%, включая такие компании, как Crowdstrike и Palo Alto Networks, после чего в последующие торговые сессии они в основном восстановились.

В то время аналитики отмечали, что распродажа, вероятно, отражала тревогу по поводу того, смогут ли инструменты ИИ заменить части рынка приложений безопасности. Однако многие исследователи считают, что инструменты ИИ скорее дополнят существующие платформы безопасности, чем полностью их заменят.

За последние два года возможности обнаружения уязвимостей с помощью ИИ значительно выросли, особенно с участием больших языковых моделей (LLMs), которые все чаще участвуют в задачах кибербезопасности, таких как соревнования Capture-the-Flag и автоматическое обнаружение уязвимостей. Эти возможности помогают защитникам быстрее выявлять слабые места программного обеспечения, но также вызывают опасения, что злоумышленники могут использовать подобные системы в своих целях.

Чтобы снизить эти риски, OpenAI 5 февраля запустила инициативу «Доверенный доступ для кибербезопасности», которая предоставляет проверенным исследователям безопасности контролируемый доступ к передовым моделям для оборонных исследований. Anthropic реализовал подобный подход через партнерства с такими учреждениями, как Национальная лаборатория Тихоокеанского Северо-Запада и внутренние программы красных команд.

Появление агентов по обеспечению безопасности на базе ИИ знаменует собой сдвиг в сторону так называемой «агентной кибербезопасности», при которой автономные системы постоянно анализируют, тестируют и устраняют уязвимости программного обеспечения. Если эта идея реализуется успешно, такие инструменты смогут сократить время между обнаружением уязвимости и выпуском исправления — один из главных недостатков современной программной безопасности.

Для разработчиков и команд безопасности это особенно актуально. ИИ уже не только пишет код — он его проверяет, ломает и исправляет, зачастую в рамках одного рабочего процесса.

И с учетом того, что OpenAI и Anthropic теперь конкурируют напрямую, следующая волна инструментов кибербезопасности может появиться не в виде традиционных сканеров, а в виде ИИ-агентов, которые никогда не спят, никогда не жалуются и, в идеале, находят баги раньше, чем это сделают хакеры.

FAQ 🤖

• Что такое Codex Security от OpenAI? Codex Security — это агент по обеспечению безопасности приложений на базе ИИ, который сканирует репозитории GitHub, проверяет уязвимости и предлагает исправления кода.
• Чем отличается Codex Security от традиционных сканеров уязвимостей? Система использует ИИ-рассуждения и проверку в изолированных средах для анализа контекста кода и снижения количества ложных срабатываний.
• Что такое Claude Code Security от Anthropic? Claude Code Security — это конкурирующий инструмент на базе ИИ, который сканирует кодовые базы на наличие уязвимостей и предлагает исправления, используя модель Claude от Anthropic.
• Почему компании, разрабатывающие ИИ, создают агенты по кибербезопасности? ИИ-агенты могут обнаруживать и исправлять уязвимости быстрее, чем традиционные инструменты, помогая разработчикам укреплять безопасность кода в масштабах.